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(57) Abstract: The invention relates to a data processing device comprising a local file receiving system which is used to receive 
local files and which is associated with a local computer unit and used for the purpose of retrieval and storage, in addition to two-way 
transmission of volume files by the computer unit, and a user identification unit which is associated with the local computer unit and 
which is configured in such a way that it can react to positive ID only in order to enable access by said computer unit to volume files 
which are authorized for a user. The volume file is stored in the local file receiving system in an encrypted form which cannot be 
used for a user. A key administration system which is associated with a volume file transmission path between the local computer 
unit and local file receiving system is configured as part of and as a functionality of the local computer unit for the generation and 
allocation of a user-specific and volume-file-specific key data file for each volume file. The key management system is connected to 
a key data base which is part of the system for receiving local files and logically separated therefrom. The key management system 
links a key file which is stored in the key data base to a volume file stored in the local file receiving system in order to generate an 
electronic document so that a volume file can be produced for the local file receiving system. The key data base is provided locally 
in the data processing unit but is structurally or physically separated from the driver unit or mass storage unit which is associated 
with the local file receiving system. . . 

(57) Zusammenfassung: Die Erfindung betriftt eine Datem^erarbeitungsvorrichtung mit einem einer lokalen Reclmereinheit zu- 
geordneten lokalen Dateiablagesystem zum Abrufen und zur Speicberung sowie zur bidirektionalen Datenubertragung von Vohi- 
mendateien mittels der Rechnereinheit und einer der lokalen Rechnereinheit zugeordneten Nutzer-ldentifikationseinheit, die zum 
Ennoglicben ernes Zu griffs durch die Rechnereinheit auf 
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Vor Ablauf der fir Anderungen der Anspruche geltenden Zur Erklarung der Zweibuchstaben-Codes, und der anderen 
Frist; Veroffentlichung wird wiederholt, falls Anderungen Abkurzungen wird auf die Erklarungen ("Guidance Notes on 
eintreffen. Codes and Abbreviations ") am Anfang jeder regularen Ausgabe 

der PCT-Gazette verwiesen. 



fur einen Nutzer autorisierte Vohunendateien nur als Reaktion auf dessen positive Identifikatjon ausgebildet ist, wobei die Volumen- 
datei in dem lokalen Dateiablagesystem in einer Mir einen Nutzer nicbt brauchbaren, verschlUsselten Form gespeicbert ist, wobei eine 
einem Datentibertragungspfad von Vohunendateien zwischen der lokalen Rechnereinbeit und dem lokalen Dateiablagesystem zuge- 
ordnete SchKisselvenvaltungseinbeit als Teil und Funktionalitat der lokalen Rechnereinbeit. die zum Erzeugen und Zuweisen einer 
nutzerspezifiscben und vohimendateispezifiscben Schlusseldatei fttr jede Vohunendatei ausgebildet ist, die SchlOsselvenvaltungsein- 
heit nut einer als Teil des lokalen Dateiablagesystems, von diesem logisch getrennt vorgesebenen Schlusseldatenbank verbunden ist 
und zum Verknupfen einer in der Schlusseldatenbank gespeicherten Schlusseldatei mit einer im lokalen Dateiablagesystem gespe- 
icherten Vohunendatei zum Erzeugen eines fur einen Nutzer hrauchbaren eleketroniscben Dokuments sowie zum Verknupfen einer 
erzeugten Schlusseldatei mit einem zu speicbernden elektronischen Dokument zum Erzeugen einer Volumendatei fur das lokale 
Dateiablagesystem ausgebildet ist, wobei die Schlusseldatenbank lokal in der Datenverarbeitungsvonichtung, jedoch struktureU 
oder pbysiscb getrennt von einer dem lokalen Dateiablagesystem zugeordneten Laufwerks- oder Massenspeichereinheit vorgesehen 
ist 
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Datenverarbeitunqsvorrichtunq 

Die vorliegende Erfindung betrifft eine Datenverarbeitungsvorrichtung nach dem Oberbegriff 
des Patentanspruchs 1 . 

Vor dem Hintergrund zunehmend strengerer Erfordernisse an die Datensicherheit, den Schutz 
vor unerlaubtem Datenzugriff durch Dritte sowie des unautorisierten Kopierens ganzer Daten- 
und Dateistrukturen bzw. des unautorisierten Zugriffs und Einblicks auf/in diese stellt sich das 
generelle Problem des Zugriffsschutzes auf Nutzerdateien nicht nur fur GrofJrechnersysteme 
oder fur unternehmensweite Netzwerke; oftmals sind auch bereits Einzelplatzsysteme oder 
kleine, lokale Rechnerverbunde bedroht. 

Zugangsregelung und Zugriffsschutz hat daher Eingang in praktisch alle Rechnerbetriebssy- 
steme und Anwenderprogramme gefunden, von einem passwortgeschutzten Rechnerstart 
(der namlich uberhaupt erst das Hochfahren eines Betriebssystems ermoglicht, wenn ein kor- 
rektes Passwort eingegeben wurde), bis bin zu individueller Zugriffssicherung etwa von mit ei- 
nem Anwendungsprogramm, z. B. einer Textverarbeitung, erstellten elektronischen Doku- 
menten (als M elektronisches Dokument" sollen im folgenden beliebige, fur einen Nutzer 
brauchbare, d. h. sinnvoll mit dem beabsichtigten Inhalt bzw. Kommunikationszweck belegte, 
les-, erkenn- und ausgebbare Nutzdateien, eingeschlossen ausfuhrbare Programme, ver- 
standen werden, im praktischen Gebrauch sind dies beispielsweise Texte, Bilder, Ton- 
und/oder Bildfolgen, 3-D-Animationen, interaktive Eingabemasken usw.). 

Gerade im Anwendungsfeld eines lokalen Arbeitsplatzes oder Rechnerverbundes bieten aber 
passwortgeschutzte Zugriffs- oder Startroutinen Oblicherweise einen nur ungenugenden 
Schutz: Selbst wenn, etwa durch Passwortschutz eines Arbeitsplatzcomputers als uber das 
betreffende Betriebssystem angebotenem Zugriffsschutz der Rechner, durch einen unauto- 
risierten Benutzer nicht gestartet werden kann, so besteht die Gefahr, dass entweder uber 
Umwege auf den diesem Arbeitsplatzrechner zugeordneten Massenspeicher zugegriffen wird, 
oder aber einfach, etwa im Wege einer Backup-Routine, der komplette Inhalt eines solchen 
Massenspeichers, etwa einer Festplatte, ausgelesen und dann zu einem spateren ZeitpUnkt 
mit einem anderen System widerrechtlich analysiert und gelesen wird. 

Auch ein individueller Dokumenten-Passwortschutz verspricht gegen derartige, unautorisierte 
Backups einen nur ungenugenden Schutz, denn selbst auf einer Festplatte passwort-ver- 
schlusselte Nutzdateien konnen oftmals mit geringem Aufwand, unter Ausnutzung der inha- 
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renten, inneren Redundanz von Bildem Oder Sprache, in ihre ursprungliche, offene Fassuhg 
zuruckversetzt werden. Ein derartiger, Dokument-individuefler Passwortschutz, der ublicher- 
weise auch als Benutzer-Level-Kryptografie verstanden wird, ist, bedingt durch seine strikte 
Dokumentabhangigkeit, empfindiich gegen Bedienfehler und umstandlich: Es besteht die Ge- 
fahr, dass ein Benutzer das Verschlusseln einzelner Dateien vergilJt oder aber eine ursprung- 
lich unverschlusselte Textdatei nach dem verschlusselten Abspeichern nicht loscht. Auch ist 
die Benutzung wenig komfortabel, da ublicherweise wahrend einer Benutzersitzung (Session) 
ein zugehoriges Passwort mehrfach einzugeben ist. Insbesondere im Zusammenhang mit 
File-Servern in einer vernetzten Umgebung ist es zudem praktisch unvermeidbar, dass zu- 
mindest zu gewissen Zeitpunkten sich eine Ware, unverschlusselte Nutzerdatei auf einem 
Speichermedium befindet und so etwa uber ein Netzwerk offener Zugriff moglich ist. 

Als weiterer Nachteil einer solchen, aus dem Stand der Technik bekannten Losung, wie sie 
etwa im Zusammenhang mil gangigen Textverarbeitungssystemen bekannt ist. besteht darin, 
daft ein jeweiliger Benutzer sich ein zugehoriges Passwort merken muss, die Gefahr durch 
Dokumentverlust bei Verlieren des Passwortes also groft ist, und daruber hinaus eine Ent- 
schlusselung jeweils nur programm- bzw. anwendungsspezifisch ist, also insbesondere ein 
Zugriff auf eine dergestalt verschlusselte Datei mit anderen Anwendungsprogrammen und 
deren Weiterverwendung stark erschwert, wenn nicht gar unmoglich ist. 

Wie zudem bereits erwahnt, besteht der prinzipbedingte Nachteil einer klassischen Verschlus- 
selung mit Hilfe von bekannten kryptografischen Verfahren (symmetrische oder asymmetri- 
sche Verschlusselung wie DES, IDEA, RSA, El-Gamal) in der Abhangigkeit von der Geheim- 
haltung eines relativ kurzen Schlussels, ublicherweise 56 bzw. 128 Bit. Wenn ein solcher 
Schlussel aufgrund der erwahnten inneren Redunanz der Sprache oder des Standards, in der 
das betreffende elektronische Dokument verfasst worden ist, aus einem begrenzten Daten- 
kontext berechnet werden kann, dann ist somit der gesamte Inhalt, bei dem dieser Schlussel 
verwendet worden ist, lesbar. 

Ein weitere Problem bilden sog. offene Systeme, die durch Multiuser-Betriebssysteme ver- 
waltet werden und Zugriffe auf Netzwerk-Massenspeicher ermoglichen. Ein solcher Zugriff 
wird ublichen^eise uber das Betriebssystem nur unzureichend verwaltet, und insbesondere 
kann daruber hinaus im Normalfall nicht nachvollzogen werden, wer. wann und von wo Daten 
geschrieben oder gelesen hat. Dagegen ist offensichtlich, dass insbesondere in einem ver- 
traulichen Kontext derartige Informationen, etwa im Fall spaterer Beweisfuhrungen. zum ver- 
besserten Quellenschutz notwendig sein kbnnen. 
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Aufgabe der vorliegenden Erfindung ist es daher, eine gattungsgemalie Datenverarbeitungs- 
vorrichtung im Hinblick auf die Datensicherheit von lokal gespeicherten Nutz- bzw. Volumen- 
daten zu verbessern, und insbesondere die Gefahr durch unautorisierten Datenzugriff durch 
vollstandiges Kopieren eines Massenspeicherinhalts, etwa durch Backup, zu vermindern. 
5 Insbesondere sind zudem auch die Sicherheitsnachteile bekannter Kryptografieverfahren ge- 
gen Entschlusselung zu uberwinden und die Verschlusselungssicherheit zu erhohen. ' 

Die Aufgabe wird durch die Vorrichtung mil den Merkmalen des Patentanspruchs 1 und 10 
sowie die Verfahren mit den Schritten der Patentanspruche 7 und 8 gelost; bevorzugte Wei- 
10 terbildungen der Erfindung ergeben sich aus den ruckbezogenen, abhangigen Anspruchen. 

In erfindungsgemaB vorteilhafter Weise findet eine Abkehr von dem gerade im Einzelplatz- 
bzw. lokalen Netzwerkbereich ublichen rollenspezifischen (d.h. auf Benutzer, z.B. Admini- 
strator, bezogenen) Passwortprinzip statt, und ein Schutz der sicherheitsbedurftigen Nut- 
15 zerdateien — im weiteren und im Rahmen der Erfindung auch als Volumendateien bezeichnet - 

- erfolgt durch die erfindungsgemaB zusatzlich vorgesehene Schlusselverwaltungseinheit im 
Zusammenwirken mit der Schlusiselspeichereinheit ("Schlusseldatei"). 

Genauer gesagt besteht ein wesentliches Merkmal der vorliegenden Erfindung darin, jegliche 
2D (bzw. eine ausgewahlte und/oder vom Betriebssystem bestimmte), zur — zugriffsgeschutzten - 

- Speicherung sowie zum spateren Wieder-Aufrufen vorgesehene Datei vor ihrer Ablage im 
lokalen Dateiablagesystem, welche besonders bevorzugt ein ublicher Massenspeicher, etwa 
eine Festplatte, ein optisches Laufwerk usw. sein kann, zu verschlusseln, und zwar mittels 
eines sowohl datei- als auch benutzerspezifischen Schlussels. Damit ist gemeint, dass jede im 

ES Rahmen der vorliegenden Erfindung zu sichernde Volumendatei, bevorzugt die Gesamtheit 
der auf dem Dateiablagesystem zu speichernden Dateien, mit einem individuellen Schlussel 
versehen wird, der getrennt (also nicht in einer dem Dateiablagesystem unmittelbar zu- 
geordneten Weise) gespeichert wird, und eine Volumendatei nur zusammen mit dem zugeho- 
rigen, individualisierten Schlussel offen und benutzbar wird. Auch bedeutet die nutzerspezi- 

3D fische Eigenschaft eines Schlussels, dass fur yerschiedene Nutzer der erfindungsgemafien 
Datenverarbeitungsvorrichtung eine jeweilige Zugehorigkeits- und Autorisierungsprufung 
stattfindet. also ein Nutzer (im Rahmen der Erfindung ist als "Nutzer" insoweit auch eine Be- 
nutzergruppe zu verstehen) kann im Rahmen der vorliegenden Erfindung nur auf die fur ihn 
vorgesehenen bzw. autorisierten Volumendateien zugreifen, und dies wird — abweichend vom 

35 Stand der Technik — insbesondere auch uber die individualisierte Schlusseldatei bzw. 
Schlusseldatensatz einer Datenbank erreicht. 
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In der praktischen Realisierung der Erfindung muss also vor jeder Arbeitssitzung mit Zugriff 
auf - als solche nicht benutzbare - Volumendateien eine mindestens einmalige Identifikation 
und Autorisierung ernes jeweiligen Nutzers stattfinden, und erst durch Verknupfung mit einer 
getrennt gespeicherten bzw. erzeugten Schlusseldatei kann eine in dem Dateiablagesystem 
S bevorzugt dauerhaft gespeicherte Volumendatei gesichert bzw. in nutzbarer Form verwendet 
werden. 

Nicht nur wird damit das Hauptproblem bestehender, passwortgeschutzter Datenverarbei- 
tungssysteme aus dem Stand der Technik gelost (auch ein vollstandiges Kopieren einer Fest- 

10 platte mit dem Dateiablagesystem ermoglicht keinen Zugriff auf die benutzbaren Nutzerdaten), 
durch Zwischenschaltung der erfindungsgemalien Schlusselverwaltungseinheit in den bidi- 
rektionalen Speicher- und Aufrufpfad zwischen Rechnereinheit und lokalem Dateisystem 
werden diese Sicherungsvorgange fur einen autorisierten Benutzer — nach einmaliger, erfolg- 
reicher Identifikation - unsichtbar und unbemerkt, bieten also beispielsweise den Vorteil, im 

15 Verlauf einer Arbeitssitzung am Datenverarbeitungssystem (session) nicht bei jedem neuen 
Offnen einer Textdatei ein zugehoriges Passwort eingeben zu mussen. 

Der weitere Vorteil einer erfindungsgemafi benutzer- und dateispezifischen Verschlusselung 
besteht zudem darin, dass im Fall des Bekanntwerdens eines individuellen Schlussels der 
ED notwendige Aufwand fur eine Schlusselanderung Oder Zugriffsanderung relativ gering bleibt. 

WeiterbildungsgemaB ist es im Rahmen der Erfindung vorgesehen, zum Zugriff auf den 
Schlussel eine weitere, in Form einer verschlusselten Zwischendatei (Zwischenschicht) rea- 
lisierte, nicht auf einer gemeinsamen Back-Up-Einheit gespeicherte Sicherungsebene vorzu- 
25 sehen, die insbesondere die Sicherheit des Zugriffs auf den Schlussel weiter erhoht. Durch 
eine solche, selbst verschlusselte, physisch entfernte Zwischenlage ist damit sichergestellt, 
dass die eigentliche Schlusseldatei nicht direkt zuganglich ist. 

Als Ergebnis der vorliegenden Erfindung ergibt sich zudem, dass prinzipiell das Lesen des 
3D verschlusselten Dateiablagesystems, etwa zum Zweck des Backups, als solches erlaubt und 

allgemein zuganglich ist und insbesondere von einer Autorisierung unabhangig gemacht wird 

(da ja auch das Ergebnis eines solchen Backups verschlusselt bleibt). Entsprechend werden 

derartige Sicherungsvorgange, wie der Backup-Prozess, von etwa einem besonderen. 

sicheren Zugriffstatus (ublicherweise Supervisor Oder Systemadministrator) unabhangig. da 
35 das eigentliche Leserecht bzw. die Fahigkeit, auf das elektronische Dokument im Klartext (d.h. 

often und unverschlusselt) zuzugreifen, unabhangig von der Backup-Funktion und damit von 

einem Supervisor od.dgl. vergeben werden kann. 
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Gemafi einer bevorzugten Weiterbildung der Erfindung, fur die auch unabhangiger Schutz 
beansprucht wird, werden zudem semantische, d. h. inhalts- und/oder sinnentstellende Ver- 
schlusseluhgsverfahren, herangezogen, wobei hier der zu schutzende Inhalt einer Volumen- 
datei eine entsprechend unbrauchbare Fassung erhM und erst durch eine zugehorige, datei- 
5 sowie nutzerindividualisierte Schlusseldatei, die dann beispielsweise einen Reihenfolgeindex 
fur eine korrekte Anordnung vertauschter Einzelbegriffe oder Satze eines Textes enthalt, in 
der Kombination einen so verschlusselten Text verstandlich macht. 



Eine derartige semantische Verschlusselung bietet gegenuber klassischen Kryptografieverfah- 

1D ren, insbesondere im vorliegenden Kontext der Verschlusselung auf der Ebene des Filesy- 
stems, eine Vielzahl von Vorteilen: So ist zum einen die Verschlusselungssicherheit, insbe- 
sondere bedingt durch die Moglichkeit, beliebige Informationskomponenten einzufugen bzw. 
auszutauschen, nahezu absolut, wobei insbesondere jegliche Kontext- bzw. Inhaltsabhangig- 
keit des Schlussels vom verschlusselten Text nicht rnehr vorhanden ist. Auch laBt sich mit 

15 diesem Verschlusselungsverfahren in besonders einfacher Weise einen Bezug zum jeweiligen 
. Nutzer herstellen. Bei bestimmten ursprunglichen Datenmengen, etwa Texten, lafit sich zu- 
dem gemafi einer bevorzugten Weiterbildung der Erfindung eine Verschlusselung dergestalt 
vornehmen, dass ein jeweiliger Inhalt zwar gegenuber dem ursprunglichen inhalt entstellt und 
verandert wird, insoweit also aus Benutzersicht nutzlos wird, gleichwohl jedoch ein Sinn 

20 und/oder eine technische Lesbarkeit und Darstellbarkeit der verschlusselten Datenmenge 
erhalten bleibt (mit der Wirkung, dass moglicherweise uberhaupt nicht erkannt wird, dass eine 
Verschlusselung vorliegt). Dies ist beispielsweise dann der Fall, wenn gewisse Worte und 
Begriffe eines Textes (die insoweit als Informationskomponenten im Sinne des Patentan- 
spruches 8 verstanden werden) gegen semantisch und/oder grammatikalisch vergleichbare, 

E? 5 inhaltlich jedoch anders aufzufassende Termini ersetzt werden. 

Generell erfordert die vorliegende Erfindung eine Metasprache in Form einer linearen Ver- 
kettung von jeweils aus sich heraus sinngebenden Modulen (Informationskomponenten), die 
zum Zwecke des vorliegenden Verfahrens zerlegt und durch die Aktionen des Vertauschens, 
30 Entfernens, Hinzufugens und/oder Austauschens in die fur den Nutzer unbrauchbare Form 
(Anordnung) gebracht wird. 

Im Rahmen der vorliegenden Erfindung ist eine Vorrichtung zum Behandeln einer elektronisch 
gespeicherten ursprunglichen Datenmenge geschaffen, welche insbesondere zur Implemen- 
35 tierung der vorstehend beschriebenen semantischen Verschlusselung geeignet und vorgese- 
hen ist. 
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In erfindungsgemalJ vorteilhafter Weise wird durch eine solche Vorrichtung die Funktionalitat 
einer Schlusselerzeugungs- und V^rwaltungseinheit realisiert, welche in der Lage ist, sowohl 
aus einem ursprunglichen, zu schutzenden Dokument (namlich der ursprunglichen Daten- 
menge bzw. Nutzdatei) die semantisch verschlusselten Volumendaten nebst Schlusseldaten 
5 zu erzeugen, als auch fur eine Verwaltung und Weiterbehandlung der so erzeugten Daten- 
mengen zu sorgen. So ist insbesondere die erfindungsgemafte Analyseeinheit vorgesehen, 
urn im Rahmen der vorgegebenen Formatstruktur und/oder Grammatik des ursprunglichen 
Dokuments die Voraussetzung fur eine nachfolgende inhalts- bzw. sinnbezogene Verschlus- 
selung zu schaffen, und die der Analyseeinheit nachgeschaltete Verschlusselungseinheit 
ID nimmt dann die Kernoperationen der semantischen Verschlusselung, namlich das Vertau- 
schen, Entfemen, Hinzufugen und Austauschen, auf die Informationskomponenten der ur- 
sprunglichen Datenmenge, unter Berucksichtigung der analysierten Formatstruktur und 
Grammatik, vor. 

15 Dabei ist es besonders geeignet, etwa die Operationen des Vertauschens oder Austauschens 
so vorzunehmen, dass eine betreffende Informationskomponente mit bzw. durch inhaltlich, 
strukturell oder grammatikalisch aquivalente Informationskomponenten ersetzt wird, insoweit 
also das Resultat der Operation nach wie vor scheinbar sinnvoll bleibt. Die weiterbildungsge- 
mafi vorgesehene Aquivalenzeinheit ermoglicht im Rahmen der vorliegenden Erfindung die 

20 Identifikation bzw. die Auswahl geeigneter aquivalenter Informationskomponenten fur diese 
oder andere Operationen. 

Gemali einer weiteren, bevorzugten Weiterbildung der Erfindung findet zudem eine Operation 
durch die Verschlusselungseinheit unter Berucksichtigung der Grammatik (der zugrunde lie- 

25 genden naturlichen, maschinellen oder menschlichen Sprache), des Formats oder der Syntax 
des ursprunglichen Dokuments statt: Durch Wirkung der bevorzugt vorgesehenen semanti- 
schen Regeleinheit ist namlich die erfindungsgemali vorgesehene Verschlusselungseinheit in 
der Lage, wiederum ein Verschlusselungsergebnis zu erzeugen, welches eine der Ur- 
sprungsdatei entsprechende grammatikalische, formatmaliige und/oder syntaktische Struktur 

3D besitzt, so dass also nicht nur im Hinblick auf die jeweiligen einzelnen Informationskompo- 
nenten (z.B. Worte in einem Text) Aquivalenz gegeben ist, sondern auch im Hinblick auf die 
Strukturen und/oder formatmaftigen Anordnungen (also z.B. die Anordnung von Begriffen in 
einem Satz nach den Regeln der Grammatik) regelkonform ist und insoweit ohne inhaltliche 
Prufung nicht erkennen lafct, dass eine den Verschlusselungseffekt bewirkende Operation auf 

35 die Informationskomponenten stattgefunden hat. Als Aquivalenz im Rahmen der vorliegenden 
Erfindung wird insbesondere auch die sog. metaphorische Aquivalenz einbezogen. Als 
metaphorisch bzw. metaphorik im Rahmen der vorliegenden Erfindung sollen dabei jegliche 
Elemente einer Sprache verstanden werden, die in einem aus Verstandnissicht sinnvollen 
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Zusammenhang zueinander stehen, also gewissermaBen einer gemeinsamen inhaltlichen, 
thematischen und/oder sinngebenen Gruppe von Sprachelementen (also z.B. Worten) ange- 
horen. Typische Beispiele fur im Rahmen der voriiegenden Erfindung metaphorisch aquiva- 
lente Begriffe sind z.B. "Bahhhof mit "Tankstelle'' oder "Flughafen", a!s jeweilig unmittelbar 
5 thematrsch dem Gebiet "Verkehr" zugehorig und insoweit metaphorisch austauschbar. Andere 
Beispiele sind Vornamen, Ortsbezeichnungen oder numerische Angaben (wie Datumsanga- 
ben, Wahrungsangaben usw.), die jeweils untereinander als metaphorisch Equivalent anzuse- 
hen sind. 

ID Gemaft einer weiteren, bevorzugten Weiterbildung ist der Verschlusselungseinheit eine 
Steuerungseinheit zugeordnet, welche den Verschlusselungsbetrieb (d.h. die Anwendung und 
Wirkung der einzelnen verschlusselnden Operationen) randomisiert: Durch Erzeugen und 
Berucksichtigen einer Zufallskomponente, z.B. einer in ansonsten bekannter Weise erzeugten 
Zufallszahl und deren Berucksichtigung bei dem Vomehmen einer davon abhangigen Anzahl 

15 von Verschlusselungsoperationen, ist sichergestellt, dass ein Verschlusseln desselben 
Ursprungsdokuments stets zu einem verschiedenen Ergebnis fuhrt, also die Verschlusselung 
selbst unter ansonsten identischen Bedingungen nie dasselbe Verschlusselungsergebnis 
erzeugt. Auch mit dieser Maftnahme laftt sich die Sicherheit der voriiegenden Erfindung weiter 
erhohen. 

ED 

Generell hat es sich zudem als besonders bevorzugt bewahrt, einem die Verschlusselung 
anwendenden Benutzer die Moglichkeit zu geben, eine vorbestimmte Verschlusselungstiefe 
(und damit eine Verschlusselungssicherheit) vorzuwahlen: Beim beschriebenen 
Erfindungsaspekt der semantischen Verschlusselung korreliert die Frage der 

E5 Verschlusselungstiefe mit der Anzahl der durchgefuhrten, die Verschlusselung bewirkenden 
Basisoperationen des Vertauschens, Entfemens, Hinzufugens oder Austauschens, und 
bestimmt insoweit auch das Volumen der erzeugten Schlusseldatei. Durch Einstellen eines 
entsprechenden Parameters kann somit der Nutzer faktisch eine Sicherungsstufe der 
durchzufuhrenden Verschlusselungsoperationen bestimmen. wobei jedoch, im Gegensatz zu 

3D bekannten, klassischen Verschlusselungsverfahren, in jedem Fall das Ergebnis der 
semantischen Verschlusselung ein scheinbar korrektes (d.h. scheinbar unverschlusseltes) Er- 
gebnis bringt, und die Frage, ob uberhaupt eine Verschlusselung stattgefunden hat, ohne 
inhaltliche (bzw. mit Vorwissen ausgestattete) Prufung nicht moglich ist. Insoweit lasst sich 
also durch diesen durch die semantische Verschlusselung erstmals erreichten Effekt der 

35 Unsicherheit sogar eine gewisse Schutzwirkung erreichen, ohne dass uberhaupt eine einzige 
Verschlusselungsoperation im vorbeschriebenen Sinne durchgefuhrt wird. 
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Als weitere, besonders bevorzugte Realisierungsform der vorliegenden Erfindung hat es sich 
zudem herausgestellt, mittels der weiterbildungsgemaR vorgesehenen Konvertierungseinheit 
die Volumendaten als Dokument auszugeben, wahrend die Schlusseldatei als lauffahige 
Scriptdaten einer geeigneten Struktur- Oder Scriptsprache, z.B. XML, SGML, XSL, Visual 
5 Basic (Script), Javascript usw., erzeugt und ausgegeben werden kann, mit dem Vorteil, dass 
insbesondere im Zusammenhang mit Netz- oder Internet-basierten Anwendungen dann in 
besonders einfacher Weise ein Wiederherstellen der Ursprungsdaten erfolgen kann, im 
einfachsten Fall durch Ablaufen des das Wiederherstellen unmittelbar bewirkenden Scripts 
(welches uber eine geeignete, das Interesse des Schutzsuchenden berucksichtigende 
10 Verbindung herangefuhrt worden ist), und welches zudem Ansatzpunkte fur weitere 
Sicherheitsmechanismen, z.B. Datenintegritat oder Serverkontakt, bietet. 

Im Ergebnis laflt sich so mit Hilfe der erfindungsgemaften Infrastruktur eine hochgradig 
sichere und gleichwohi bedienungsfreundliche Schutzarchitektur schaffen, die nicht nur die 
15 Interessen des Schopfers eines schutzwurdigen elektronischen Dokuments deutlich besser 
schutzt als dies mit konventionellen Moglichkeiten gegeben ist, sondern die zudem auch 
potentiellen Nutzern des geschutzten Inhaltes einen leichten, komfortabten Zugang und Urn- 
gang mit dem Dokument ermoglicht, und letztendlich ist zu berucksichtigen, dass nur die 
Existenz eines wirksamen Schutzinstruments gegen unberechtigtes Kopieren und Weiterver- 
E0 breiten Garant dafur ist, dass auch zukunftig elektronische Dokumente wertvollen Inhalts und 
mit hoher Qualitat erzeugt und allgemein erhaltlich sein werden. 

Gemafi einer bevorzugten Weiterbildung des Verfahrens der semantischen Verschlusselung 
ist zudem vorgesehen, dass eine erfindungsgemaft erzeugte Schlusseldatei (Datenmenge) fur 
Drittpersonen gesondert verschlusselt (konventionell oder semantisch) wird, und zwar minde- 
stens zweifach, wobei einer ersten Person das Ergebnis der ersten Verschlusselung und einer 
zweiten Person das Ergebnis der darauffolgenden zweiten Verschlusselung zugeordnet wird. 
Ein derartiges, erfindungsgemaftes Vorgehen hat dann die vorteilhafte Wirkung, dass selbst 
bei Verlust der eigentlichen Schlusseldatenmenge die Nutzdatei wieder hergestellt werden 
kann, indem beide Empfanger der nachfolgenden Verschlusselungsergebnisse miteinander 
die zugrundeliegende Schlusseldatenmenge durch aufeinanderfolgendes Entschlusseln 
erzeugen. Ein derartiges Vorgehen, was insoweit einem Vier-Augen-Prinzip entspricht, wurde 
in erfindungsgemaft vorteilhafter Weise die vorliegende Erfindung unabhangig vom Original- 
schlussel, namlich der zuerst erzeugten Schlusseldatenmenge, machen konnen und insoweit 
Unglucksfallen, wie dem Verlust des Originalschlussels etwa durch Versterben eines Pass- 
wortinhabers, vorbeugen konnen. Entsprechend ist ein zusatzliches, zweifaches Verschlus- 
seln der korrekten Schlusseldatei vorgesehen, ein erstes Ergebnis des zusatzlichen Ver- 
schlusselns wird einer ersten Drittperson zugeordnet, ein zweites Ergebnis des zusatzlichen 
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Verschlusselns wird einer zweiten Drittperson zugeordnet und die korrekte Schlusseldatei ist 
durch aufeinanderfolgendes Entschlusseln mit dem ersten und dem zweiten Ergebnis wieder- 
herstellbar. 

5 Nicht nur in diesem konkreten Beispiel zeigt sich zudem, dass im Rahmen der Erfindung die 
so verschlusselte Nutzdatei eine Volumendatei ist, also gegenuber dem offenen Inhalt .-- 
einen vergleichbaren pder allenfalls wenig veranderten Volumenumfang aufweist. 

Eine vorteilhafte Realisierungsform der vorliegenden Erfindung liegt darin, die erfindungsge- 
1D mafte Schlusselspeichereinheit (Schlusseldatenbank) lokal vorzusehen, also innerhalb der 
raumlichen Grenzen der Datenverarbeitungsvorrichtung (z. B. als zusatzliche Festplatte oder 
anderes, raumlich von dem Dateiablagesystem getrenntes Medium, oder aber logisch-struktu- 
reil getrennt, etwa in Form einer anderen Partition mit eigener Laufwerkskennung auf einer ge- 
meinsamen Festplatteneinheit). 

15 

Konkret ist es daher beispielsweise moglich, die Volumendaten (als ursprungliche Daten- 
menge) Ober einen Laufwerksbuchstaben in der Art eines Filesystems zu adressieren und 
anschlieftend auf die Schlusseldatenbank zuzugreifen, und/oder die Schlusseldatenbank in 
der Art eines hierarchischen Filesystems zu adressieren und etwa mittels eines Laufwerks- 

20 buchstabens zu kennzeichnen. Entsprechend ist die Schlusseldatenbank lokal in der Daten- 
verarbeitungsvorrichtung, jedoch strukturell oder physisch getrennt von einer dem lokalen 
Dateiablagesystem zugeordneten Laufwerks- oder Massenspeichereinheit vorgesehen, und 
die Schlusseldatenbank ist mittels eines eigenen Laufwerksbuchstabens, eines Laufwerkob- 
jektes (mit Datenbankfunktionalitat verbunden) od.dgL in der Art eines Filesystems adressier- 

E5 bar. 

Im Ergebnis fuhrt damit die vorliegende Erfindung zu einem deutlich erhohten MafJ an Daten- 
sicherheit. insbesondere im Hinblick auf erne ansonsten mit geringem Aufwand durch unauto- 
risierte oder widerrechtlich handelnde Personen mogliche Kopie (Backup) gesamter File- 

3D systeme oder Teile von diesen. Durch die mittels der vorliegenden Erfindung realisierte, 
bidirektionale lokale Verschlusselung entstehen nutzbare - und damit auch fur Dritte erst 
wertvolle - Daten und Informationen im Zeitpunkt der Abfrage bzw. existieren nur vor dem 
Ablegen in das Dateiablagesystem, so dass die vorliegende Erfindung auch als grundsatzliche 
Modifikation eines herkommlicherweise offenen File-Handlingsystems hin zu einem in beide 

35 Richtungen (bezogen auf einen lokal zugeordneten Massenspeicher) durch Verschlusseln ge- 
schutzten System verstanden werden kann. 
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Wesentlicher Vorteil des erfindungsgemaften Verschlusselungsverfahrens, im voriiegenden 
Text auch als "semantische Verschlusselung" bezeichnet, ist es zudem, dass hier aktive 
Daten in Form einer beliebigen Verknupfungsfunktion zur Verschlusselung herangezogen 
werden konnen, insoweit gibt also dieser Schlussel unmitteibare Eigenschaften des ver- oder 
5 entschlusselten Dokuments (z.B. Reihenfolge oder Lucken) wieder. Dagegen sind klassische 
Verschlusselungsfunktionen, die — eindeutig und konkret — eine Beziehung zwischen Schlus- 
sel und zu verschlusselndem Dokument herstellen, eher passiv. d.h. die Verschlusselungs- 
funktion bzw. -operation besitzt keine Beziehung zum Dokument. 

10 Ein weiterer, potentiell nutzbarer Aspekt der voriiegenden Erfindung liegt darin, dass, im Ge- 
gensatz zu klassischen, bekannten Verschlusselungsverfahren, das Ergebnis der semanti- 
schen Verschlusselung ein elektronisches Dokument sein kann, welches fur einen Betrachter 
bzw. Nutzer einen auf den ersten Blick sinnvollen Charakter haben kann. Entsprechendes gilt 
fur das Entschlusseln, mit dem Ergebnis, dass prinzipiell jeder Ver- oder Entschlusseiungs- 

15 vorgang zu einem scheinbar sinnvollen Ergebnis fuhren kann (demgegenuber ist es etwa bei 
herkommlichen Kryptografieverfahren eindeutig, ob ein erfolgreiches Entschlusseln stattge- 
funden hat, denn nur dann entsteht auch ein sichtbar sinnvolles Ergebnis). Dies gilt insbeson- 
dere fur den Anwendungsfall der Erfindung, dass die Schlusselverwaltungseinheit zum Er- 
zeugen und Zuweisen einer Mehrzahl von nutzerspezifischen und volumendateispezifischen 

BO Schlusseldateien fur jede Volumendatei ausgebildet ist, wobei die Schlusselverwaltungseinheit 
mit einer als Teil des lokalen Dateiablagesystems, von diesem logisch getrennt vorgesehenen 
Schlusseldatenbank verbunden ist und zum Verknupfen einer in der Schlusseldatenbank 
gespeicherten Schlusseldatei mit einer im lokalen Dateiablagesystem gespeicherten 
Volumendatei so ausgebildet ist, dass im Fall der Verwendung einer korrekten der Mehrzahl 

ES von erzeugten und zugewiesenen Schlusseldateien das korrekte elektronische Dokument er- 
zeugt wird, und im Fall der Verwendung einer nicht korrekten der gespeicherten Schlusselda- 
teien ein fur einen Nutzer scheinbar korrektes elektronisches Dokument erzeugt wird. 

Die semantische Verschlusselung fuhrt damit zu einer potentiell erhohten Sicherheit im Urn- 
30 gang mit verschlusselten oder entschlusselten Dokumenten, wobei damit zusatzlich die Not- 
wendigkeit entsteht, etwa einem Benutzer nach einer durchgefuhrten, erfolgreichen Entschlus- 
selung anzuzeigen, dass er auch tatsachlich das offene, entschlusselte Ergebnis vorliegen 
hat, und nicht etwa ein (da ein Entschlusselungsvorgang erfolglos geblieben ist) nach wie vor 
verschlusseltes Dokument. 

35 

Eine derartige Anzeige kann etwa durch ein zusatzliches Originalitatssignal erreicht werden, 
etwa in Form eines (nur) dem Benutzer konkret in dieser Bedeutung bekannnten, optischen 
Hinweises. 



WO 01/06341 



-11- 



PCT/EP00/06824 



Eine zusatzliche Qualitat erhalt die im Rahmen der vorliegenden Erfindung eingesetzte se- 
mantische Verschlusselung weiterbildungsgemali dadurch, dass nicht nur die erfindungsge- 
m3B mit den Operationen Vertauschen, Entfernen, Hinzufugen Oder Austauschen manipulier- 
5 ten Informationskomponenten zu Verschlusselungszwecken herangezogen werden, sondern 
eine Verschlusselungswirkung zusatzlich dadurch erreicht wird, dass die in der durch semanti- 
sche Verschlusselung erzeugten Schlusseldatenmenge vorliegenden Angaben uber die ver- 
tauschten, entfernten, hinzugefugten und/oder ausgetauschten Informationskomponenten 
selbst Operationen des Ver- oder Austauschens unterzogen werden. Mit anderen Worten, die 

ID Weiterbildung der semantischen Verschlusselung liegt in dem semantischen Verschlusseln 
der einem jeweiligen Dokument zugrunde liegenden sprachlichen / texllichen / strukturellen 
Metaebene (die selbst als ein Weg zum Beschreiben des elektronischen Dokuments verstan- 
den werden kann). In der konkreten Realisierung wurden dadurch also beispielsweise die An- 
gaben (z.B. Befehle oder Syntaxelemente), die den semantischen Verschlusselungsvorgang 

15 beschreiben, ihrerseits durch andere, bevorzugt nicht-sprechende, Angaben ersetzt (mit der 
Folge, dass vor einem eigentlichen Entschlusseln erst eine solche Schlusseldatenmenge wie- 
derhergestellt werden muflte). 

Ein konkretes Beispiel fur eine derartige, weiterbildungsgemafl im Rahmen der Erfindung 
ZD ebenfalls verschlusselungsfahige Metasprache sind sog. TAG-Elemente, wie etwa Formatie- 
rungsanweisungen fur Tabellen od.dgL Auch derartige Format- und/oder Strukturelemente 
eines Dokuments, die, gewissermafien ubergeordnet uber den eigentlichen inhaltsgebenden 
Worten oder Satzen existieren, sind im Rahmen der vorliegenden Erfindung durch die Basi- 
soperationen des Vertauschens, Entfernens, Hinzufugens oder Austauschens behandel- und 
damit schutzbar. 

Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgen- 
den Beschreibung bevorzugter AusfOhrungsbeispiele sowie anhand der Zeichnungen; diese 
zeigen in: 

30 

Fig. 1: ein schematisches Blockschaltbild der Datenverarbeitungsvorrichtung gemafi 

einer ersten, bevorzugten Ausfuhrungsform der Erfindung und 

35 Fig. 2: ein schematisches Blockschaltbild einer Schlusselerzeugungs- und -verwal- 

tungseinheit im Rahmen der Erfindung. 
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Die Fig. 1 verdeutlicht anhand eines Einplatz-Computersystems, wie die vorliegende Erfindung 
mit Baugruppen und Komponenten eines handelsublichen PCs realisiert werden kann. 

Eine lokale Recheneinheit 10, realisiert durch das PC-Mainboard mit ublichen Prozessor-, 
5 Speicher- und Schnittstelieneinheiten, greift auf ein lokales Dateiablagesystem 12, realisiert 
als Festplatte, zu, wobei die Verbindung zwischen Recheneinheit und Dateiablagesystem 
bidirektional ist, also sowohl Schreibvorgange der Recheneinheit auf das Dateisystem durch- 
gefuhrt werden konnen, als auch umgekehrt Dateien der Einheit 12 gelesen (aufgerufen) 
werden und dann uber geeignete Ein-/Ausgabeeinheiten 14 (z. B. ein Bildschirm, Drucker, 
ID Schnittstellen zum AnschlieBen anderer Rechnersysteme, Datenleitungen usw.) often lesbar 
bzw. nutzbar zur Verfugung stehen. 

Das Dateiablagesystem 12 kann dabei ein logisch-strukturell getrenntes Dateiablagesystem 
sein, das als Teil einer grofieren Dateiablage fur den vorliegenden Zweck speziell vorgesehen 
IS ist. 

Wie die Fig. 1 zeigt, ist zwischen Recheneinheit 10 und Dateiablagesystem 12 eine Schlussel- 
Verwaltungseinheit 16 zwischengeschaltet, die eine bidirektionale Verschlusselung von in 
Richtung auf das lokale Dateiablagesystem 12 gerichteten, zu speichernden Nutzdateien - 
20 Textdateien, Bilddateien usw. - vornimmt, und die zudem in entgegengesetzter Richtung eine 
Entschlusselung von im lokalen Dateiablagesystem gespeicherten, als solche nicht lesbaren 
(d. h. nicht brauchbaren) Volumendateien zuruck in eine brauchbare Nutzerdatei vornimmt. 

Zu diesem Zweck bedient sich die Schlusselverwaltungseinheit einzelner Schlussel, die be- 
25 nutzer- (gruppen-) spezifisch sowie dateispezifisch erzeugt werden und in einer Schlus- 
selspeichereinheit 18 abgelegt sind. 

Im beschriebenen Ausfuhrungsbeispiel ist die Schlusselspeichereinheit physisch auf derselben 
Festplatte wie das Dateiablagesystem 12 enthalten, jedoch logisch und strukturell von diesem 
30 getrennt, indem der Schlusselspeichereinheit 18 (alternativ oder zusatzlich: dem Da- 
teiablagesystem 12) eine eigene Laufwerkskennung zugeordnet ist. 

Erst mittels des dokumentspezifischen Schlussels ist es fur einen Benutzer der Recheneinheit 
mbglich, eine im System 12 gespeicherte Volumendatei in benutzbarer (lesbarer) Weise aus- 
35 zugeben, bzw. eine aktuell bearbeitete Datei dort abzulegen. 

Weiterhin sieht die in Fig. 1 gezeigte Ausfuhrungsform der Erfindung vor, dass, mit der Re- 
cheneinheit verbunden, eine Benutzer-ldentifikationseinheit vorhanden ist, die beispielsweise 
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durch ein geeignetes Softwaremodul im Rahmen des Rechner-Betriebssystems oder eines 
konrekten Anwendungsprogrammes realisiert sein kann. 

Eine solche Benutzeridentifikation ermoglicht es, die in der Schlusselspeichereinheit 18 abge- 
5 legten Schlusseldateien benutzerspezifisch zuzuordnen und zur Verfugung zu stellen, so dass 
auf diesem Wege einem jeweiligen Benutzer der Zugriff nur auf fur ihn autorisierte Volumen- 
dateien in dem Dateiablagesystem 12 moglich ist. Besonders geeignet enthalt beispielsweise 
im dargestellten Ausfuhrungsbeispiel das fur die Schlusselspeichereinheit vorgesehene Lauf- 
werk eine — fur den Benutzer unsichtbare — Unterteilung nach Benutzern fur jeweils vorgese- 
10 hene Schlusseldateien, so dass die Sicherheit des Zugriffs auf das Dateiablagesystem weiter 
erhoht wird. 

Neben gangigen Verschlusselungsverfahren fur im Dateiablagesystem unlesbar (und damil 
als solche unbrauchbar) gehaltene Volumendateien bietet sich zur Realisierung der vorlie- 

15 genden Erfindung insbesondere die sog. semantische Verschlusselung an, also das plan- 
maflige Verandern des Inhalts einer Volumendatei durch etwa das Umstellen der Reihenfolge 
von Inhaltskomponenten eines nur in dieser bestimmten Reihenfolge sinnvoll und (vollstandig) 
nutzbaren Inhaltes (also etwa ein Umstellen von Wortern oder Satzen innerhalb eines 
Gesamttextes), wobei dann der hierzu generierte und in der Schlusselspeichereinheit 18 

50 abgelegte Schlussel eine korrekte Reihenfolgeinformation erhalt. Andere Moglichkeiten einer 
solchen semantischen Verschlusselung waren das Austauschen, Weglassen oder Ersetzen 
von vorbestimmten oder zufallig ausgewahlten Schlusselwortern, das Erzeugen von Lucken 
oder das Einfugen von sinnentstellenden Zusatzen. 

ES Auf die beschriebene Weise wurde somit ein unautorisierter Zugriff auf das Dateiablagesy- 
stem, etwa im Wege eines vollstandigen Backup, den Zugreifenden lediglich mit unvollstan- 
digen und im Ergebnis nutzlosen Daten belassen, die selbst durch gangige Entschlusselunigs- 
verfahren, ohne die getrennt gespeicherte Schlusselinformation, nicht in lesbare Form her- 
stellbar sind. 

3D 

Durch die Wirkung der Schlusselverwaltung im Hintergrund (nach einmal erfolgter Idehtifika- 
tion des Benutzers durch die Einheit 20) bleiben zudem diese sicherheitserhohenden Vor- 
gange fur den Benutzer unbemerkt, und, insbesondere wenn - etwa durch Einsatz speziell 
eingerichteter Hardware-Bausteine fur die Schlusselverwaltungseinheit 16 - die Ver- und 
35 Entschlusselungsschritte schnell genug ablaufen, wirkt sich das erfindungsgemafie Vorgehen 
auch hinsichtlich der konkreten Betriebsgeschwindigkeit des Datenverarbeitungssystems nicht 
nachteilig aus. 
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lm Rahmen der vorliegenden Erfindung liegt es zudem, die eins-zu-eins-Beziehung von Volu- 
mendatei und Schiusseldatei dahingehend zu modifizieren, dass insbesondere auch einer (z. 
B. besonders umfangreichen) Voiumendatei eine Mehrzahi von Schlusseldateien zuzuordnen 
ist, wobei in diesem Fall der Begriff "volumendateispezifisch" im Hinblick auf jeweilige Datei- 
5 abschnitte bzw. Bereiche fur eine zugehorige Schiusseldatei zu interpretieren ist. 

Im weiteren soil beschriebeh werden, wie die Ausfuhrungsform gemafl Fig. 1 von einem — 
autorisierten oder unautorisierten - Benutzer in der Art eines Filesystems zugegriffen werden 
kann, so dass die Art und Weise des Zugriffs selbst Bestandteil der Sicherheitsstruktur der 
10 vorliegenden Erfindung wird. 

Wesentliche Aufgabe der Schlusselverwaltungseinheit 16 ist das Herstellen einer logischen 
Beziehung zwischen Volumendaten 12 und jeweiligen (benutzer- und dokumentspezifischen) 
Schlusseldaten 18. In einer bevorzugten Realisierungsform der Erfindung lafit sich dabei ins- 

15 besondere die Kombination von Schlusselverwaltungseinheit 16 und Schlusselspeichereinheit 
18 als programmtechnisch zu losende spezielle Darstellungsform zu verstehen, die, etwa in 
der Art des Explorer fur das Windows-Betriebssytem, in der Lage ist, individuelle (d.h. benut- 
zerspezifische, abhangig von einer jeweiligen Autorisierung) Ansichten von elektronischen 
Dokumenten in einer hierarchischen Anordnung darzustellen, wie es der Dateiordnung und 

EQ der jeweiligen Berechtigung des Benutzers entspricht. Mit anderen Worten r durch Wirkung der 
Einheit 16 erhalt der Benutzer als Ansicht (und auch zum Zugriff) eine hierarchische Anord- 
nung von fur ihn autorisierten Dokumenten dargestellt, im Idealfall so, dass er den Umstand 
einer Verschlusselung der jeweiligen dargestellten Dokumente (bzw. einer Nicht-Verschlusse- 
lung) nicht bemerkt. Er kann also innerhalb dieser individuellen, benutzerspezifischen, durch 

ES einen Autorisierungsvorgang bestimmten Ansicht so agieren, als wurden keine Schutzmecha- 
nismen sichtbar existieren. 

Gleichwohl basiert eine derartige, aus Benutzersicht (nach wie vor komfortable) Moglichkeit 
der Arbeit mit der vorliegenden Erfindung auf einer ubergeordneten, sicheren Zuordnung und 

30 Dokument- bzw. Schlusselverwaltung, wie sie die eigentliche Aufgabe der Einheit 16 ist: Mit 
Hilfe typischerweise eines Datenbanksystems, im einfachsten Fall einer Konkordanztabelle, 
welche verschiedenen Personen die jeweils fur sie autorisierten Volumendateien, Schlus- 
seldateien, zugehorige Attribute usw. zuordnet, ist die in der Einheit 16 enthaltene Darstel- 
lungseinheit in der Lage, die benutzerspezifische Ansicht individuell zu kreieren und im 

3 5 Rahmen dieser benutzerspezifischen Ansicht dann auch ggf. verschlusselte Dokumente mit 
zugehorigen Schlusseldateien korrekt zusammenzufuhren und so zu rekonstruieren. Ein der- 
artiges, die Funktion der Einheit 16 bestimmendes Datenbanksystem (Beispiel: Tabelle) ent- 
halt diesbezuglich typischerweise die den jeweiligen Schlusseh Volumen-Dateien zugehori- 
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gen Pfadangaben; erganzend und/oder altemativ konnen insbesondere auch Rekonstruk- 
tionsanweisungen als Bestandteile von Schlusseldateien unmitlelbar in einer solchen Tabelle 
zum Zugriff enthalten sein (was sich insbesondere dann anbietet, wenn eine derartige Tabelle 
dynamisch erzeugt wird und der dadurch erhaltene Vorteil ausgenulzt wird, dass das gesamte 
S Dateisystem nicht zusatzlich belastet wird). Insoweit ist als "Schlusseldatei" im Rahmen der 
vorliegenden Erfindung insbesondere auch als Eintrag in einer solchen Datenbank (Tabelle) 
zu verstehen, dergestalt, dass dieser Eintrag das ordnungsgemafte Rekonstruieren im Rah- 
men der Erfindung ermoglicht. Auch. dieser Ansatz bietet Eingriffs- bzw. Ansatzmoglichkeiten 
fur das bevorzugt anzuwendende Schutzverfahren der semantischen Verschlusselung: Nicht 

10 nur kann Aufbau, Feldinhalt und/oder Reihenfolgeposition eines Eintrags innerhalb der Da- 
tenbank (Tabelle) semantisch manipuliert sein, auch ist das Vorsehen von Zwischentabellen 
(etwa in Form von sog. N:M-Zuordnungen) moglich, um Komplexitat und damit Entschlusse- 
lungssicherheit der Vorrichtungen weiter zu erhohen. Zur weiteren Sicherheitserhohung ist es 
zudem, analog dem Gedanken der Mehrzahl von Schlusseldateien zu einem Volumendoku- 

15 ment, moglich, mit einer Mehrzahl von (zueinander bevorzugt aquivalenten) Konkordanztabel- 
len zu arbeiten, die, uber die Aufgabe der Volumendateh Schlussel- und Personenzuordnung, 
eine Mehrzahl von moglichen Ansichten bzw. Bearbeitungsbereichen (fur jede Person, oder 
fur mehrere Personen) ermoglichen. 

ZD Bestandteil der benutzerspezifischen Ansichten bzw. der dadurch gegebenen Bearbeitungs- 
umgebungen ist, durch das Filesystem geregelt, die Moglichkeit einer Anpassung, Aktualisie- 
rung bzw. eines Updates fur durch Eingriff des Benutzers entsprechend geanderte Inhalte 
eines jeweiligen elektronischen Dokuments, insbesondere betreffend das Fortschreiben des 
Verschlusselungsmechanismus zwischen Volumendatei (in Einheit 12) und Schlusseldatei (in 

E?5 Einheit 18). so dass auch insoweit der vom Benutzer zugefugte Dokumentbestandteil und/oder 
dessen Anderung entsprechend Verschlusselung enthalt. Damit sind im Rahmen der vorlie- 
genden Ausfuhrungsform Synchronisationsmechanismen geschaffen. 

Auf diesem Wege ist dann insbesondere auch das Abfangen missbrauchlicher Zugriffsversu- 
30 che auf die Datenverarbeitungsvorrichtung der vorliegenden Erfindung moglich: Erfolgt etwa 
ein missbrauchlicher Zugriff auf den autorisierten Datenbestand fur eine Person (erkannt z.B. 
dadurch, dass sich ein missbrauchlich Zugreifender zwar fur eine Person autorisiert, jedoch 
ein falsches Passwort eingibt), so erhalt dieser Zugreifende zwar durch Wirkung der Schltis- 
selverwaltungseinheit 16 eine Ansicht von Dateien dargeboten, ist jedoch weder in der Lage, 
35 auf den tatsachlichen, vollstandigen Inhalt dieser Dateien zuzugreifen, noch wird es ihm er- 
moglicht. Anderungen an diesen Dateninhalten vorzunehmen. Vielmehr ist das System so 
ausgebildet, dass es auf Eingaben des Zugreifenden reagiert, insoweit also entsprechenden 
Anderungen folgt, diese schlagen sich jedoch nicht in den erfindungsgemaft geschutzten Ori- 
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ginaldaten wieder, sondern nur in der durch die Einheit 16 verwalteten virtuellen Sicht des 
widerrechtlich Zugreifenden. So konnen zwar durch Eingriff eines widerrechtiich Zugreifenden 
durchaus verschlusselte Volumendaten geandert werden (woraufhin dann eine entsprechende 
Anpassung der Schlusseldaten erfolgt), das zugrundeliegende, ursprungliche Dokument bleibt 
5 jedoch von diesen Manipulationen unbeeinflusst. 

Auf die oben beschriebene Weise stellt sich daher somit die Schlusseldatenbank bzw. die 
Schlusselverwaltungseinheit als Bestandteil der erfindungsgemafien Datenverarbeitungsvor- 
richtung dar, die logische und damit virtuelle, hierarchisch geordnete und individuell - benut- 

10 zerspezifische Ansichten (und damit Benutzer-Zugriffsbereiche auf der lokalen Rechnerein- 
heit) schafft, die jedoch gleichermaften einen Maximum an Zugriffsschutz gegen missbrauch- 
lichen Zugriff sicherstellt, indem namlich, insbesondere mit dem Instrument der semantischen 
Verschlusselung, ein tatsachlicher Zusammenhang zwischen Schlusseldateien (mit Rekon- 
struktionsanweisungen) und einer zugrundeliegenden Volumendatei unsichtbar und intranspa- 

15 rent bleibt. 

In der praktischen Realisierung der vorliegenden Erfindung erscheint es dabei insbesondere 
auch ratsam, sehr weitgehend vom Betriebssystern vorgesehene Operationen des Dateizu- 
griffs an die erfindungsgemaBe Vorgehensweise anzupassen, nicht zuletzt um eine ordnungs- 

?0 gemalie Unterscheidung von erfindungsgemafi zu sichemden und ansonsten offenen, frei 
zuzugreifenden Dateien eines eher typischerweise fur yerschiedene Anwendungen benutzten 
lokalen Rechnersystems sicherzustellen, ohne dass Sicherheitslucken auftreten (oder dass, 
von autorisierten Zugreifenden, verschlusselter Volumendaten irrtumlich als unverschlusselte 
Originaldaten missinterpretiert werden, was durch den Charakter der semantischen Ver- 

E?S schlusselung ohne weiteres gegeben sein konnte). Da jedoch derartige Eingriffe in ein Be- 
triebssystern problematisch sein konnten, ware es alternativ moglich, im Rahmen der vorlie- 
genden Erfindung uberhaupt betroffene Dateien mit einem Header zu versehen, welcher obli- 
gatorisch und automatisch eine Uberprufung auslost, ob es sich um eine bestimmungsgemafi 
zu verschlusselnde bzw. im Rahmen der vorliegenden Erfindung zu behandelnde Datei han- 

3D delt, Oder aber um eine phnzipiell unverschlusselte. 

Dementsprechend liegt eine weitere, mogliche Weiterbildung der vorliegenden Erfindung 
darin, mit Mitteln des Datenbank- und Systemdesigns der vorliegenden Datenverarbeitungs- 
vorrichtung die Grenzen zwischen Benutzern individuell, selektiv anzuzeigenden (und zuzu- 
35 greifenden) elektronischen Dokumenten und solchen Dokumenten, die irgendwelchen Zu- 
griffsregeln uberhaupt nicht unterliegen, verwischen zu lassen (also die Ansichten auf die Ver- 
zeichnisse und der darin enthaltenen Dokumente nicht zu trennen) und insoweit Unsicherheit 
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daruber entstehen zu lassen, ob uberhaupt die innerhalb einer benutzerspezifischen Ansicht 
dargebotenen elektronischen Dokumente zugriffsgeschutzt sind. 

Daruber hinaus liegt eine vorteilhafte Weiterbildung der vorliegenden Erfindung darin, die ge- 
mali der vorbeschriebenen Ausfuhrungsformen verwendeten, benutzerspezifischen Ansichten 
der Dateien im Filesystem dynamisch und insbesondere im Zusammenhang mil einem jeweili- 
gen Beginn einer Benutzersession eines Benutzers Dberhaupt erst zu erzeugen, so dass in- 
soweit ein festes. invariables Schema von benutzerspezifischen Ansichten uberhaupt nicht 
existiert (entsprechend auch auf einer Uberwachungs- bzw. Supervisorebene nicht kontrollier- 
bar, sogar explizit abkoppelbar ist), und so der Sicherheitscharakter der Gesamtlosung weiter 
verstarkt wird. 

Zur erganzenden Erlauterung des Verschlusselungsverfahrens gemafi unabhangigem An- 
spruch 8 (im weiteren auch "semantische Entschliisselung" genannt), werden im folgenden 
Details und Eigenschaften dieses Verfahrens naher beschrieben, die Gegenstand der vorlie- 
genden Erfindung sind. 

Die semantische Verschlusselung, also die Verschlusselung des Sinns besteht in der Auftei- 
lung von Originalen Daten (OD) in Volumendaten (VD) und Arbeitsanweisungen oder Rekon- 
struktionsanweisungen (RA). Es liegt in dem zugrundeliegenden Konzept des Verfahrens, daft 
die Volumendaten frei und ohne zusatzlichen Schutz verteilt werden konnen. Die RA mussen 
getrennt von den VD aufbewahrt werden. Die Benutzung der OD und der Zugriff auf die OD 
geht nur, wenn der Zugriff auf die RA mit Reglementierungen belegt sind und die RA 
entsprechend geschutzt abgespeichert sind und auf sie nur reglementiert zugegriffen werden 
kann. 

Die Verwaltung der RA bzw. der Schlusseldaten und des Zugriffs auf diese RA geschieht 
durch eine Datenbank, im folgenden auch Schlusseldatenbank oder Schlusseleinheit genannt. 
Da der Zugriff auf diese zentrale Schlusseleinheit ebenfalls mit einem Schlussel und / oder mit 
einem Pafiwort geschieht und da diese Daten besonders sensibel sind und daher das erste 
Ziel von Angriffen auf die Vertraulichkeit und auf die Geheimhaltung der darin enthaltenen 
Daten darstellt. mufi die Sicherheit vor unautorisierten Zugriff durch eine zusatzliche 
Verschlusselung sichergestellt werden. 

Diese Schlusseleinheit erlaubt die Abspeicherung der Zugriffsdaten oder Zutrittsdaten (ZD) 
und bietet damit den Zugriff auf die Daten im Rahmen einer Zugriffskontrolle. 
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Bei einem Zugriff will ein Benutzer also ein Subjekt auf ein OD Objekte zugreifen. Ob uber- 
haupt die Rechte fur die beabsichtigte Zugriffsoperation vorhanden sind, entscheidet die Zu- 
griffskontrolle. 

5 Die Zugriffskontrolle entscheidet, ob die angefragte RA fur ein identifiziertes Subjekt freige- 
schaltet werden darf, oder ob die Obergabe der RA an dieses Subjekt blockiert werden muft. 

Der Zugriffsschutz auf das Dokument besteht somit aus einer semantischer Verschlusselung 
des Dokumentes auf einem Massenspeichers und aus einer klassisch oder sernantisch ver- 
10 schlusselten Zugriffs auf die RA, die zu den sernantisch verschlusselten VD gehort. 

Die Daten in der Schlusseleinheit konnen ebenfalls bei einem Backup mit abgespeichert 
werden. Der Zugriff auf die Daten innerhalb dieses Schlusseleinheit kann zusatzlich erschwert 
werden, wenn der Schlussel mit dem auf den Schlusselserver zugegriffen werden kann, hicht 
15 eindeutig ist. Wenn mehr als ein Schlussel fur die Entschlusselung plausibel oder gar nur 
theoretisch moglich ist, dann bedarf es zusatziicher Kriterien, um sich selber und andere 
davon zu uberzeugen, daft der Schlussel korrekt ist. 

Der Nachteil der klassischen Kryptographie besteht darin, daft die naturlichen Redundanz der 
20 Sprache genutzt werden kann, um die verwendeten Schlussel berechnen zu konnen, oder daft 
die Schlussel sofern sie vorliegen genutzt werden konnen um durch einmalige die Anwendung 
sehr leicht beweisen zu konnen, dafi sie korrekt sind. Der Beweis, daft der gegebene Schlus- 
sel eindeutig ist, kann durch statistische Verfahren bei grofteren Datenmengen leichter gefuhrt 
werden. Je grofter die Datenmenge ist, desto leichter ist auch die Entschlusselung. 

25 

Der Vorteil der semantischen Verschlusselung besteht aufterdem darin, daft besonders grofte 
Datenmengen zuverlassiger und sicherer geschutzt werden konnen. Die semantische Ver- 
schlusselung liefert eine sehr grofte Menge von moglichen Schlusseln, die angewandt auf 
Volumendaten sinnvolle und ggf. auch brauchbare Daten liefern. Auch ein amateurhafter An- 
30 greifer konnte sich selber eine ganze Klasse von Schlusseln ausdenken, die angewandt auf 
die verschlusselten Daten scheinbar einen korrekten Inhalt liefern. Der Beweis von Originalitat 
kann ggf. auch spater und unabhangig von der Ver- und Entschlusselung gefuhrt werden. 

Als Beispiel kann der Satz dienen: Holen Sie Herm Manfred Schmidt morgen (Datum) um 
35 12:17 von Bahnhof in Munchen ab. Obwohl die Ort, die Zeit und der Aktion genau spezifiziert 
worden ist, kann bei einer semantischen Verschlusselung keine Aussage daruber getroffen 
werden, was der originale Inhalt darstellt. Jeder kann Rekonstruktionsanweisungen entwik- 
keln, mit der der Sinn dieses Satzes geandert werden kann. So kann das Datum, die Uhrzeit. 
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der Ort die Namen der Personen Oder die Aktion z.B. durch das Wort „nicht„ vor dem Wort 
„ab„ in das genaue Gegenteil umgedreht werden. 

Der Beweis der Originalitat kann z.B. darin bestehen, daft ein zwischen dem Erzeuger und 
dem Benutzer dieser verschlusselten Daten ein Kriterium vereinbart werden kann, daft beide 
als ein Beweis fur Originalitat akzeptieren wurden. Dieses Kriterium kann anders als bei der 
klassischen Kryptograpbie nicht mathematischer und/oder statistischer Art sein. Falls der 
Erzeuger und Benutzer ein und dieselbe Person ist, so kann z.B. die Signalisierung der richti- 
gen Entschlusselung in der Anzeige eines vorher nur ihm als korrekt bekannten Bildes dar- 
stellen. Ein Angreifer wurde ebenfalls immer ein Bildes sehen, aber er konnte nicht wissen, 
welches und ob es korrekt ist. 

Ein in der Schlusseleinheit verwaltetes mathematisches Kriterium, wie das einer digitalen 
Signatur, konnte angewandt auf einen im Kontext nicht ersichtlichen Daten Teilbestandes die 
Zuverlassigkeit des Gesamtsystems fur die Benutzer erhohen, ohne daft daraus Informationen 
uber einen Angriff auf den Schlussel gewonnen werden kann. 

Die Vorteile einer auf ein Datenbankmodell und Verschlusselung gestutzten Zugriffskontrolle 
besteht in der Herstellung der Sicherheit der Daten, der Nachweisfuhrung, ob Zugriff auf 
Daten genommen worden ist, das Nachvollziehen und die Uberprufung der Verantwortlichkeit, 
ob ein Zugriff genommen werden darf und ob eine Anderung an den Daten vorgenommen 
werden darf. Aufterdem kann der Lebenszyklus eines Dokumentes, d.h. das Publizieren eines 
Dokumentes genauso wie das nicht mehr zuganglich machen eines Dokumentes durch den 
Zugriffsschutz auf die RA hergestellt werden. 

Der Zugriff auf die Backupdaten kann auch uber die mitgesicherte Schlusseleinheit gesche- 
hen. Die Schlusseldaten konnen so verwaltet werden, daft ein Auslesen dieser Daten und ein 
Verwalten in einer anderen Schlusseleinheit verhindert werden kann. Durch den Vergleich der 
abgespeicherten relativen oder absoluten Datenposition innerhalb des Massenspeicher von 
der Schlusseleinheit kann die Zugriffskontrolle innerhalb der Schlusseleinheit feststellen, ob 
der Zugriff von einem Backup erfolgt oder von der originalen Schlusseleinheit. 

Uber die Zugriffskontrolle konnen verschiedene Stufen der Geheimhaltung realisiert werden. 
Da die Dokumente mehr oder weniger unabhangig von der Art der verwendeten semantischen 
Verschlusselung nahezu als aquivalent geschutzt angesehen werden konnen, kann die Ge- 
heimhaltung der Daten und deren Zugang nur uber die Schlusseleinheit gestaltet werden. 
Durch die Zugehorigkeit zu einer Schnittmenge von Benutzergruppen kann einem Teilnehmer 
die Verwendung eines nur in der Datenbank enthaltenen Zusatzschlussels ermoglicht werden. 
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der dann den entschlusselten Zugrrff auf die dokumentenspezifisch und benutzergruppenspe- 
zifisch verschlusselten Daten freigibt. 

Der Einsatz der semantischen Verschlusselung bei der Ubertragungssicherung im Rahmen 
5 einer Kommunikation besteht in dem Austausch von verschlusselten Daten zwischen minde- 
stens 2 Teilnehmern A und B. Der Schutz eines Backup oder eines langfristig angelegten Ar- 
chivs ist ein von der zeitlichen Dauer her betrachteter Ubertragungsvorgang als extremes Bei- 
spiel fur die Anwendung der Ubertragungssicherheit anzusehen, da bei der Entwendung des 
Backup alle nichtgeschutzten Daten einem nichtautorisierten Teilnehmer bekannt werden. Bei 

10 der Ubertragung von Daten muft daher auch zwischen einer synchronen Benutzung von Da- 
ten beim Teilnehmer B und von einer spateren also asynchronen (Teil-) Benutzung von 
ubertragenen Daten unterschieden werden. Bei einem Backup wird von einer asynchronen 
Benutzung der Daten ausgegangen, die aufterdem so abgespeichert sein sollten, daft ein Zu- 
grlff auf die verschlusselten Daten jederzeit und mehrfach auch ohne Kenntnis vom Teilneh- 

15 mer A durchgefuhrt werden kann. 

Bei der Herstellung von Obertragungssicherheit muft es aber mindestens einen Kontakt 
zwischen A und B gegeben haben, damit eine Identifikation und Authentication (l&A) durch- 
gefuhrt werden kann. Die Ubertragung der VD geschieht in einen oder mehreren Datenuber- 
20 tragungsschritte. Die Ubertragung der RA kann vor/nach/wahrend der l&A und oder der 
Ubertragung der VD geschehen. Im Rahmen der Erfindung kann die einnrialige oder mehrma- 
lige Ubertragung der RA der Ubertragungssicherheit und der Situation angepaftt werden. Die 
bei dem Backup auch abgespeicherte Schlusseleinheit verwaltet uber die Zugriffskontrolle den 
Zugriff auf das Backup. 

B5 

Falls aufgrund der Anwendung keine Zeitverzogerung bei der Ubertragung akzeptiert werden 
kann, mussen VD und RA zeitlich korreliert ubertragen werden. Falls die Anwendung asyn- 
chron zur Ubertragung mit den OD arbeiten soil, dann kann die Ubertragung der RA auch 
nichtkorreliert geschehen und ggf. auch mit den VD zusatzlich semantisch oder klassisch 
30 verschlusselt mitgegeben werden. 

Unter Obertragungssicherheit kann allgemein der Schutz der Vertraulichkeit oder der Schutz 
vor Veranderungen bei der Ubertragung der Daten verstanden werden. Bei der Semantischen 
Verschlusselung ist der Schutz der Vertraulichkeit bei VD unmittelbar gegeben. Die Anwen- 
3S dung von zusatzlichen klassischen Verschlusselungen ist auf eine geringe Anzahl von Daten, 
z.B. auf die sessionweise, individuell verschlusselten RA, beschrankt 
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Die unbemerkte Anderung der auszugebenden entschlusselten Daten, kann bei der Anderung 
der VD nur unterhalb einer von dem Angreifer nicht erkennbaren Auflosung geschehen, falls 
z.B. die Rekonstruktion nur in der Wiederherstellung der richtigen Reihenfolge von Satzen 
bestehen wurde. Da z.B. die Semantische Verschlusselung nur in der Anderung der Reihen- 
5 folge der Satze bestehen konnte, kann die Anderung von Worter innerhalb eines Satzes nicht 
festgestellt werden. Fur die Registrierung einer Anderung ist der Augenschein nicht ausrei- 
chend. Daher kann ein zusatzliches Verfahren zur digitalen Beweissicherung fur die Feststel- 
lung von Anderungen bei den Volumendaten eingefiihrt und mit der semantischen Verschlus- 
selung kombiniert werden. 

ID 

Wenn die Volumendaten bei der Kommunikation als ganzes oder als verwendbare Teildaten 
komprimiert sind, dann kann die Ubertragung der Daten schneller und auch zuverlassiger er- 
folgen. Die Sicherheit der so ubertragenen Daten ergibt sich aus der nichtlinearen Verknup- 
fung zwischen den komprimierten Daten. Dagegen kann die heruntergeladene komprimierte 
15 Datei auf dem lokalen Rechner in der oben beschriebenen Weise verandert werden. so daft 
fur die Verhinderung dieser Manipulationen auch klassische Methoden der Beweissicherung 
ihre Anwendung finden konnen. 

Bei einem Verwendungszweck in der Beweissicherung steht im Vordergrund, ob die Daten 
E?D echt sind, d.h. im Sinne originar, unverandert oder unversehrt vorliegen. Die Daten sind von 
einem bestimmten (anonymen oder bekannten) Benutzer, sie stammen von einer bestimmten 
Quelle, bzw. sind an einem bestimmten Datum erstellt worden. Bei der Beweissicherung muft 
ggf. der Kontext der Daten dargestellt werden. Zu dem Kontext konnen auch die Zugriffsdaten 
gehoren. Fur die Beweissicherung mufi nachvollzogen werden konnen, daft die Volumen- 
2 5 daten, die RA und die Datenbank, auf der die Zugriffsdaten abgespeichert sind, nicht veran- 
dert worden sind bzw. nicht ohne Spuren zu hinterlassen verandert werden konnen. 

Bisher konnte die Beweissicherung nur mit einer der folgenden Mittel hergestellt werden: 
Abspeicherung des Wertes einer Einwegfunktion, d.h. Verwendung einer digitalen Signatur 

3D oder die Abspeicherung der Daten auf ein nicht mehr veranderbares Speichermedium 
(Laserdisc, WORM) auf die zu schutzenden Elemente (VD, RA, ZD und Datenspeicherein- 
richtung). Als zusatzlicher Vorteil der semantischen Verschlusselung wirkt sich die Trennung 
der OD in VD und RA als eine zusatzliche Verbesserung der Sicherheit der bestehenden 
Verfahren zur Beweissicherung aus. Die Beweissicherung ist im Rahmen der Semantischen 

35 Verschlusselung ein unabhangiges Add-On, auf das je nach Anwendung auch verzichtet 
werden kann, und als Teil der Schlusseleinheit angesehen werden kann, bei der jede zusatz- 
liche Verschlusselung sich relativ zu dem bestehenden Datenkontext hinzufugt. 
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Da die Positionierung von Daten sich relativ zu einer Menge von sich Sndernden Orientie- 
rungsmarken innerhalb eines Datenkonlext verandern kann, kann neben der Entschlusselung 
der Daten auch das Anderungsprotokoll als relative Aktuaiisierungsdaten semantisch ver- 
schlusselt abgespeichert werden. Eine Manipulation in der abgespeicherten Vergangenheit 
5 dieser Daten wurde so sofort registriert werden konnen, da der Kontext entweder von der Ge- 
samtdatei oder von einer Teildatenmenge zerstort werden kann. 

Der Vorteil der semantischen Verschlusselung besteht dario, dad kein inharenter Integritats- 
schutz enthalten ist und daft er durch zusatzliche Verfahren gezielt mit Redundanz oder mit 
ID anderen Kontext schaffenden Informationen zusatzlich herangefuhrt werden kann; 

Die Oberprufbarkeit von Datenintegritat, also die Feststellung einer Anderung von Daten, die 
entweder bei der Quelle (Server), bei der Ubertragung oder auf dem lokalen Rechner manipu- 
liert worden sein kann, ist fur die Vertrauenswurdigkeit der semantisch verschlusselten Daten 
15 wichtig. Die Datenintegritat ist fur die Anerkennung von Daten durch den Benutzer wichtig. Zu 
diesem Zweck kann ein mathematisches Beweisfuhrungsverfahren, wie die Anwendung einer 
Einwegfunktion zusammen mit einer lokalen Datei oder ein unverandertes Merkmal auf einem 
Server bei dem entsprechenden Nachweis eingesetzt werden. 

2D Bei einer Uberprufung der Datenintegritat findet entweder diese Oberprufung auf der lokalen 
Maschine oder auf dem Server geschehen, je nachdem wie die Interessen bei dieser Uber- 
prufung verteilt sind. Eine Anderung der Daten kann durch die mathematischen Beweisfuh- 
rungsverfahren jederzeit, also auch vor der unmittelbaren Benutzung durch den Anwender 
durchgefuhrt werden. 

25 

Eine semantische Uberprufung der Datenintegritat kann flexibel durch eine Metasprache vor- 
genommen werden, bei der sich die semantische Ver- und Entschlusselung flexibel durch eine 
minimal geanderte Metasprache drastisch im rekonstruierten Ergebnis auswirkt, so dafi die 
Korrektheit des Schlussels durch die Betrachtung der so rekonstruierten Daten relativ einfach 
3D durch Augenschein erkannt werden kann. 

Fur die Beweissicherung und Datenintegritat ist die Authentizitat wichtig und nicht die Ge- 
heimhaltung der so uberpruften Daten. Die Geheimhaltung ergibt sich aus der zusatzlichen 
Verschlusselung der Daten. Ob die Datenintegritat vor oder nach der Verschlusselung gepruft 
35 wird ergibt sich aus der konkreten Anwendung. 



Bei der Schlusselverwaltung ist zu differenzieren in Bezug auf den Schlussel als Pafiwort zur 
Identifizierung und Authentifizierung, im folgenden nur Paftwort genannt, und Schlussel als 
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Rekonstruktionsanweisung fur die Elektronischen Dokumente. Die Schlussel konnen dabei 
selber Anweisungen enthalten, die wiederum komplexere Verschlusselungsoperationen 
ausiosen konnen, und die sich dabei ggf. in eine Menge von Schlussel umwandeln. 

Die Schlussel konnen auch nur temporar fur eine Kommunikation oder fur eine Menge von 
Kommunikationsschritten, z.B. fur eine Benutzersession, eingesetzt werden. Die Abspeiche- 
rung der RA in der Datenbank kann auch zusatzlich verschlusselt werden. Die Verwendung 
von Schlussel (im Folgenden RA-Schlussel genannt) kann dabei fur eine Mengenbildung 
innerhalb der so verschlusselten Daten verwendet werden. Mit einem RA-Schlussel konnen 
dann beispielsweise alle RA fur ein Dokument oder alle RA fur ein Kapitel mit alien darin ent- 
halten Versionsanderungen verschlusselt werden. 

Verschlusselt wird stets eine ursprunglichen Datenquelle, die mit einer definierten Vokabular 
aufgebaut wird. Alle Sprachen, insbesondere die naturlichen menschlichen Sprachen, beste- 
hen aus einer Menge von Worter, die in einem Lexikon aufgelistet werden konnen. Die An- 
wendung im Rahmen von kontextbezogenen Satzen konnen Worter noch konjugiert und de- 
kliniert werden. 

Die Verwendung von falschen grammatischen Formen ist innerhalb der schriftlichen und 
mundiichen Sprache ublich und wird von Menschen in der Regel richtig interpretiert sofern es 
nicht deutlich oberhalb einer Reizschwelle liegt und oder zu Mifiverstandnissen, Unklarheiten 
oder zu Konflikten mit der Kontext steht und zu Sinn behafteten Irritationen fuhrt 

Die Verschlusselung eines Backup hat ein zusatzliches Problem, dafi bei einer Datenubertra- 
gung keine aquivalente Bedeutung hat. Da Backup Bander und deren ggf. illegal gemachte 
Kopie sehr lange aufbewahrt werden konnen, besteht einerseits das Problem ein Zugriffspafi- 
wort zu haben, daB auch nach Jahren wieder erinnert und verwendet werden kann, anderer- 
seits besteht das Problem, dad die Endtamung des Pafiwort weitreichende Folgen fur die 
Datensicherheit hat. Wenn die Pafiwdrter zu schwierig zu merken sind, dann besteht die 
Gefahr des Vergessens. Wenn dagegen das PafJworf fur den Hersteller des Backup oder 
eines Benutzer, dessen Daten abgespeichert werden, sehr leicht zu merken ist, dann stellen 
klassische Verschlusselungsverfahren keine Schutz mehr dar. Dagegen wurde eine semanti- 
sche Verschlusselung der Schlusseleinheit keine Hinweise oder Beweise liefern, dafi der ein- 
fache Schlussel tatsachlich der richtige Schlussel ist. 

Die Verwendung einer lokalen Schlusseleinheit erspart dem Benutzer umfassende Ausfall- 
maftnahmen zu treffen, fur den Fall, daB der Schlusselserver ausfallt. Die flexiblere Verteilung 
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der Schlussel ermoglicht eine Online Zugriff auf einen externen ggf. zentral verwalteten 
Schlusselservers, fur den Fall einer zusatzfichen Abgleich zur Herstellung der Aktualitat. 

Ein weiterer Fortschritt besteht in der Begegnung der Gefahr, daft auch in einer zentralen 
Datenbank eingedrungen werden kann und daft die Kenntnis aller Schlussel zu einem ent- 
sprechend grolien Schaden fuhren kann. Aufterdem besteht das Problem in einer moglichen 
Uberlastung durch zu viele Anfragen auf eine zentralen Datenbank, was zu Problemen in der 
effizienten okonomischen Ausnutzung von Ressourcen fuhren kann. 

Bei einer Schlusselverteilung mufi berucksichtigt werden, ob der Schlussel geholt werden muft 
oder verschlusselt geliefert wird, oder bereits durch das Paftwort lokal vorhanden ist. Aufter- 
dem kann unterschieden werden, ob die Schlussel bzw. die Paftworter in der Schlusseleinheit 
im Klartext eingetragen sind oder von der Schlusseleinheit zur Uberprufung angefordert wer- 
den mufi. Die RA Schlussel konnen zentral, lokal oder dezentral verteilt gespeichert werden. 
Die Art der Schlusselverteilung ergibt sich daraus, ob der Schlussel symmetrisch oder asym- 
metrisch ist und ob der Schlussel nur einmal verwendet werden soil und damit immer neu ge- 
holt werden muft. Aufterdem ergibt sich das Problem der Schlusselverteilung aus der Not- 
wendigkeit zur Anderung und zum periodischen Wechseln von Schlusseln und PafJworter. 

Ein weiterer Vorteil der semantischen Verschlusselung besteht darin, dad bei einem Wechsel 
des Schlussels keine zuverlassige Aussage daruber gemacht werden kann, ob es sich um 
eine veranderte Verschlusselung handelt, oder um eine bewufcte verandernde Aktualisierung 
des Datenbestandes. Der Unterschied besteht darin, daft bei einer klassischen Verschlusse- 
lung und bei Kenntnis des entschlusselten Textes durch eine Klartext auch der neue Schlussel 
enttarnt werden kann. Die Gefahr einer Klartext Attacke besteht bei der semantischen Ver- 
schlusselung nicht, da fur einen so gefundenen Schlussel keine Beweis vorhanden ist, daft er 
richtig ist und daft damit ein daruber hinausgehender Verlust an Vertraulichkeit verbunden ist. 

Die Sicherheit der Paftwort Verwaltung ergibt sich zum einen aus der verwendeten Einweg- 
funktion und zum Anderen aus der Auswahl des Paftwortes durch den Benutzer. Der Vorgabe 
einer Lange und einer Auswahl aus einem moglichst groften Zeichenvorrat verbessert die 
Qualitat eines Paftwort. Um das Erraten von Paftworter zu erschweren werden Ausschluft- 
listen gebildet. Die Paftwortverwaltung ist wie eine Schlusselverwaltung. Im Gegensatz zu RA 
Schlussel werden die Paftworter in der Regel vom Benutzer festgelegt. Aufterdem konnen sie 
von diesem eingegeben oder bei Bedarf geandert werden. 

Um den Zugriff auf das Backup zu erschweren, kann die Freischaltung der Schlusseleinheit, 
die vom Backup geholt worden ist erst dann korrekt arbeiten, wenn eine zusatzliche Informa- 
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tion von einem vertrauenswurdigen und Rechner geholt wird, der ggf. nur fur diesen Zweck 
bereitwillig Informationen sammelt, aber Antworten erst nach Oberwindung mehrerer Einzel- 
schritte ggf. auch organisatorischer Art freigibt. 

Die Schlusseleinheit stellt aufgrund der wichtigen Bedeutung fur die Sicherheit der Daten 
innerhalb der Gesamtlosuhg ein wichtiges Angriffsziel dar. Wenn ein Benutzer sein Paliwort 
bei der Identifizierung gegenuber dieser Schlusseleinheit preisgibt, dann ist damit die Sicher- 
heit des Gesamtsystems ins Gefahr. Aus diesem Grunde mufl die PafSworteingabe sich vor 
sogenannten trojanischen Pferden schutzen, die dem Benutzer vorgaukeln, sie waren in 
Wahrheit die Schlusseleinheit, aber in Wirklichkeit sind es nur Programme, die den Benutzer 
dazu verleiten sollen, das Paliwort einzugeben. Dieses Ausspahen des PafJwortes wird auch 
Spoofing genannt. Die Schlusseleinheit kann in eine Ausfuhrungsform auch mit zusatzlichen 
Methoden zur Verhinderung des Spoofing ausgestattet sein, z.B. das Erzeugen einer 
Mehrzahl von Zugangspassworten fur jeden Benutzer (mit vorteilhaft nur einem Korrekten), so 
dass eine Unsicherheitskomponente bei einem unberechtigt Zugreifenden entsteht. 

Die Zugriffskontrolle auf ein Backup kann auch als Kopierschutz Verfahren realisiert werden. 

Bei der symmetrischen Verschlusselung kann von dem Schlussel zur Verschlusselung sofort 
auf den Schlussel zur Entschlusselung geschlossen werden. In diesem Sinne kann das Ver- 
tauschen und Ersetzen von Daten als symmetrisches Verschiusselungsverfahren verstanden 
werden. Durch die Arbeitsanweisung zur Entschlusselung kann sofort die zugehorige Ent- 
schlusselungs- RA gewonnen werden. In der gleichen Weise ist auch nach der Entschlusse- 
lung gekannt, wie die Verschlusselung durchgefuhrt worden ist. Urn diese beiden Vorgange 
starker zu trennen, mufl eine semantische Zwischenschicht eingefuhrt werden. 

Die Anweisungen zur Vertauschung oder Loschen etc. bestehen aus einem Vokabular oder 
zumindest aus Token, denen eine definierte Aufgabe zugewiesen wurde. Das Vokabular wird 
durch die Interpretation der Rekonstruktionseinheit mit einer Aktion verknupft. Die Interpreta- 
tion dieses Vokabulars kann man durch die Implementation von ausfuhrenden Operationen 
einer Metasprache realisieren. Wenn die Zuordnung des Vokabulars zu Operationen wie- 
derum durch eine Metasprache geandert werden kann, so kann ein zusatzlicher Schlussel 
genutzt werden, urn die Operation der ersten Schlussels komplexer zu interpretieren. Dieser 
zusatzliche Schlussel kann dann entweder dem Sender oder dem Empfanger des RA hinzu- 
gefugt werden. Die zusatzlichen Zuordnungen zwischen Vokabular und Operationen konnen 
so miteinander funktional interagieren, daft ein zuruck rechnen von einen Schlussel auf den 
anderen an der Komplexitat und Eindeutigkeit des Problems scheitert. Zur Unterstutzung 
dieses Vorgangs konnen Einwegfunktionen verwendet werden. 
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Aus dieser Verknupfung kann auch die semantische Verschlusselung so eingesetzt werden 
daft auf deren Basis asymmetrische Verschlusselung mit all seinen aus dem Stand der Tech- 
nik bekannten Anwendungen moglich gemacht werden kann. 

Message Digits (MD) ergeben sich aus der Anwendung von Einwegfunktionen. Die Anwen- 
dung kann auf eine durch die semantische Verschlusselung vorgegebene Klasse von Entita- 
ten oder auf deren Komplementar Menge beschrankt werden Auf diese Weise konnen meh- 
rere unabhangige Teil Message Digits entstehen, die jeweils fur sich einen Schutz vor zufalli- 
gen und absichtlicheh Veranderungen bieten. Da MD auf der Byte Ebene angewendet werden 
und daher fur sehr grofie Datenmengen relativ rechenzeitaufwendig in der Erstellung sind, 
kann ein semantischer MD auf der semantischen Ebene dazu eingesetzt werden, ob es eine 
Anderung der Volurnendaten oder der Schlusseldaten oder der Schlusseleinheit gegeben hat. 

Unter Bezug auf die Fig. 2 wird nachfolgend eine praktische Realisierungsform des die Infra- 
struktur zur semantischen Verschlusselung betreffenden Aspekts der vorliegenden Erfindung 
beschrieben. 

Die Fig. 2 zeigt dabei in einer schematischen Blockschaltbild-Darstellung den Aufbau einer 
Schlusselerzeugungs- und Verwaltungseinheit mit den zugehorigen Funktionskomponenten im 
Rahmen der vorliegenden Erfindung, die benutzt werden kann, um durch die erfindungsge- 
rnalJe Technologie der semantischen Verschlusselung zu schutzende elektronische Doku- 
mente in geschutzte Volumendateien und zugehorige Schlusseldateien umzusetzen. Dabei 
ermoglicht es die im Zusammenhang mit Fig. 2 beschriebene Ausfuhrungsform insbesondere 
auch, nicht lediglich eine (beim Wiederherstellen zur ursprunglichen, korrekten Datenmenge 
fuhrende) Schlusseldatenmenge zu erzeugen, sondern eine Mehrzahl von Schlusseldaten- 
mengen, so dass auch durch diesen Aspekt des Vorliegens einer Mehrzahl moglicher 
Schlussel (von denen auch wiederum nur einer zu dem auch inhaltlich korrekten, und nicht nur 
scheinbar korrekten Ergebnis fuhrt) die Sicherheit der vorliegenden Erfindung weiter erhoht 
werden kann. 

Die Fig. 2 soli am Beispiel eines elektronischen Textdokuments beschrieben werden, welches 
in einem ublichen Format (z.B. Microsoft WORD) vorliegt und mit geeigneten Texteditoren 
erstellt wurde. Das Textdokument besteht aus dem Satz 



Peter geht um 20.00 Uhr zum Bahnhof. Der Zug ist punktlich. 
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ist in einer Speicherheit 52 gemafi Fig. 2 gespeichert und soli in nachfolgend zu beschreiben- 
der Weise durch Wirkung der in Fig. 2 gezeigten, weiteren Funktionskomponenten semantisch 
verschlOsselt werden. 

S Eine der Dokumentspeichereinheit 52 nachgeschaltete Lese-/Zugriffseinheit 54, welche mit 
einer Formatdateneinheit 56 zusammenwirkt, stellt fest, dass das obige, in der Speichereinheit 
52 gespeicherte Dokument der Formatstruktur MS-WORD folgt (idealerweise enthalt die For- 
matdateneinheit 56 samtliche Format- bzw. Strukturinformationen gangiger Datenformate), 
und greift mit diesen (dateibezogenen) Formatinformationen auf das Textdokument in der 

10 Dokumentspeichereinheit 52 zu. Die der Lese-/Zugriffseinheit 54 nachgeschaltete Ahalyse- 
einheit 58 ist nunmehr in der Lage, auf der Basis der von der Leseeinheit 54 gelesenen Doku- 
mentinformationen diese zu analysieren und zu bewerten, wobei die Analyseeinheit 58 zum 
einen das elektronische Dokument in seine einzelnen Informationskomponenten zerlegt und 
diese in eine Informationskomponentenspeichereinheit 60 ablegt (im vorliegenden Beispiel 

15 waren dies die einzelnen Worter), und zusatzlich die Dokumentstruktur als Struktur von zwei 
durch Punkte begrenzten Satzen erkennt und diese Dokumentstruktur in der Dokumentstruk- 
turspeichereinheit 62 zerlegt ablegt. Insoweit erhalt der Inhalt der Einheit 62 den Charakter 
einer dokumentspezifischen Metadatei, auf die auch spatere Verschlusselungsvorgange (auch 
ggf. nur selektiv) zugreifen konnen. 



Konkret konnte der Inhalt der Dokumentstrukturspeichereinheit nach der Analyse des Aus- 
gangsdokuments durch die Analyseeinheit wie folgt aussehen: 



wahrend die Informationskomponentenspeichereinheit 60 dieser strukturellen Analyse ent- 
sprechenden Informationskomponenten, also Worte enthalt: 



Satz 1 (1,2. 3. 4)Satz2(1.2, 3), 



35 



3D 



(1.1) Peter 
d-2)geht 

(1.3) urti 20.00 Uhr 

(1.4) zum Bahnhof 

(2.1) der Zug 

(2.2) ist 

(2.3) punktlich 



Mit dieser fur das nachfolgende Vornehmen der Verschlusselungsoperationen wichtigen Vor- 
bereitung ist es nunmehr moglich, sowohl auf die einzelnen Informationskomponenten (im 
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vorliegenden Beispiel die einzelnen Worte), als auch auf die Folgen von Informationskompo- 
nenten bzw. Strukturen die Basisoperationen der semantischen Verschlusselung durchzu- 
fuhren, namlich das Vertauschen, Entfernen, Hinzufugen oder Austauschen. Dabei liegt eine 
wesentliche Schutzwirkung der erfindungsgemaften semantischen Verschlusselung darin, 
5 dass diese Operationen nicht beliebig durchgefuhrt werden, sondern dass dies vielmehr unter 
Beibehaltung der grammatikalischen, syntaktischen und/oder formatmaBigen Regeln erfolgt, 
so dass auch als Ergebnis der Verschlusselung ein Resultat entsteht, welches scheinbar (d.h. 
ohne inhaltliche Prufung) korrekt zu sein scheint, mit anderen Worten, dem man nicht ansieht, 
dass es sich in der Tat um ein verschlusseltes Ergebnis handelt. 

ID 

Im vorliegenden Ausfuhrungsbeispiel wird mit Hilfe der Verschlusselungseinheit aus dem oben 
angegebenen elektronischen Dokument der folgende Text: 

Thomas kommt um 16.00 Uhr vom Friedhof. Der Zug ist punktlich. 

15 

Ohne Kenntnis des wahren Inhaltes erscheint dieser Satz also wie ein offenes, unverschlus- 
seltes Ergebnis, so dass eine wesentliche, schutzbegrundende Wirkung der vorliegenden 
Erfindung bereits darin liegt, dass ein Angreifer angesichts dieses Textes moglicherweise gar 
nicht erst den Eindruck gewinnt, es handle sich um eine Verschlusselung, und so von Anfang 
E?D an einen Angriff auf diesen Text unterlaftt. 

Konkret wurde im vorliegenden Ausfuhrungsbeispiel durch Wirkung einer Aquivalenzeinheit 70 
(die in ihrer einfachsten Fassung als Tabelle bzw. Datenbank von aquivalenten, d.h. entspre- 
chenden und austauschbaren, Begriffen verstanden werden kann, folgendes vorgenommen: 

ES Die Inhaltskomponente "Peter" des Ausgangsdokuments wurde durch die grammatikalisch 
aquivalente Inhaltskomponente 'Thomas" ersetzt, wobei Satzstruktur und Grammatik beibe- 
halten wurden, der Sinn des Ursprungsdokuments jedoch bereits zerstort ist. Entsprechend 
wurde die Inhaltskomponenten "geht" des Ursprungsdokuments in die aquivalente Kompo- 
nente "kommt" ersetzt, die Inhaltskomponente "um 20.00 Uhr" wurde ersetzt durch "um 16.00 

30 Uhr" (hier wurde durch Wirkung der Aquivalenzeinheit festgestellt, dass es sich um ein nume- 
risches Datum in Form einer Uhrzeit handelt, so dass eine Manipulation innerhalb der zulSs- 
sigen Uhrzeiten moglich war), und die Inhaltskomponente "zum Bahnhof wurde ersetzt durch 
die Inhaltskomponente "vom Friedhof. Dabei wurde zudem durch eine ebenfalls mit der Ver- 
schlusselungseinheit 64 verbundene, den geschilderten Verschlusselungsbetrieb beeinflus- 

35 sende semantische Regeleinheit 72 sichergestellt, dass das Verschlusselungsergebnis 
"...kommt ... vom Friedhof grammatikalisch und syntaktisch korrekt ist, insoweit also nicht als 
manipuliert identifiziert werden kann. (Auch das zusatzliche "zum" ware hier korrekt). Auch 
wurde mittels der Verschlusselungseinheit 64 und der zusammenwirkenden Aquivalenzeinheit 
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70 bzw. semantischen Regeleinheit 72 festgestellt, dass die Inhaltskomponente "der Zug" des 
nachfolgenden Satzes in einem inhaltlichen Bezug zu der in den vorhergehenden Satz neu 
eingebrachten Inhaltskomponente "Friedhof ' steht, so dass selbst ohne eine Verschlusselung 
des zweiten Satzes ein vollig anderer Sinn (und damit ein Verschlusselungseffekt) entsteht. 

Als Ergebnis dieser beschriebenen, einfachen Verschlusselungsoperationen wird somit das 
Verschlusselungsergebnis 

"Thomas kommt urn 16.00 Uhr vom Friedhof. Der Zug ist punktlich," 

als Volumendaten ausgegeben und in einer Volumendaten-Speichereinheit abgelegt, wahrend 
ein das Rekonstruieren ermoglichender Schlussel (im vorliegenden Ausfuhrungsbeispiel eine 
Information uber die jeweils vertauschten Worte mit deren Position im Satz sowie in jeweiligen 
inhaltlichen Begriffen) in einer Schlusseldaten-Speichereinheit 74 abgelegt wird. Entsprechend 
konnte die zugehorige Schlusseldatei fur die Speichereinheit 74 wie folgt aussehen (im 
folgenden Beispiel wird von der Rekonstruktionseinheit der Befehl EXCHANGE interpretiert, 
um die im Argument angegebene Vertauschung durchzufuhren): 

EXCHANGE (1.1; Thomas) 
EXCHANGE (1.2; kommt) 

usw. 

In einer Weiterbildung dieser Ausfuhrungsform ist das Vokabular der Befehlssprache selbst 
dynamisch und kann durch Funktionen einer Scriptsprache geandert werden; der Befehl 
EXCHANGE wurde so selbst durch einen anderen, beliebigen Ausdruck ersetzt werden 
konnen. 

Gemafi einer weiteren bevorzugten Ausfuhrungsform der Erfindung ist vorgesehen, eine 
Mehrzahl von Schlusseldateien zu erzeugen, von denen jedoch nur eine das korrekte Rekon- 
struktionsergebnis erzeugt. Schlusseldatei 2 konnte entsprechend wie folgt beginnen: 
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EXCHANGE (1.1; ROdiger) 
(Rest wie obige Schlusseldatei); 

5 Schlusseldatei beginnt mit: 

EXCHANGE (1.1; Claus) 

usw. 

10 

Im Ausfuhrungsbeispiel der Fig. 2 ist zusatzlich diesen beiden Speichereinheiten eine Ausga- 
beeinheit 78 nachgeschaltet, die in besonders einfacher Weise die Schlusseldaten 74 in Form 
eines Scripts aufbereitet und als lauffahige Scripfdatei 84 ausgeben kann; dies geschieht mit 
Hilfe einer Konvertierungseinheit 80, welche in ansonsten bekannter Weise aus den 

15 Volumendaten der Speichereinheit 76 ein der verschlusselten Fassung entsprechendes 
Volumendokument 82 erzeugt, und aus den Index- bzw. Rekonstruktionsdaten der 
Speichereinheit 74 ein selbstandig im Rahmen einer geeigneten Ablaufumgebung lauffa- 
hige^) Strukturbeschreibung, Script, z.B. als Javascript, XML, VB-Script od.dgl., und welches 
dann selbstandig beim Ablaufen das Volumendokument 82 bearbeitet und in die ursprungli- 

20 che, unverschlusselte Form zuruckfuhren kann. 

Das als Weiterbildung der vorliegenden Erfindung beschriebene Vieraugenprinzip -- zusatzlich 
konnen zwei Dritte das verschltisselte Dokument durch aufeinanderfolgendes Anwenden ihres 
jeweiligen Einzelschlussels entschlusseln - kann dadurch implementiert werden, dass, am 
25 vorbeschriebenen Beispiel, ein Dritter alle Namen und alle Zeiten/Zahlen entschlusseln kann, 
der zweite die sonstigen Inhaltsbestandteile des Dokuments (einschliefilich der Reihenfolgen). 

Insbesondere im Rahmen einer Internet-Umgebung, wo dann das Volumendokument schon 
lokal vorhanden Oder auf anderem Wege zu einem Nutzer herangefuhrt worden ist, kann dann 
3D uber eine gesicherte (und insbesondere auch zum Durchfuhren einer geeigneten, einem ord- 
nungsgemafien Zugriff auf das Dokument autorisierenden Identifikations- und/oder Bezah- 
lungsvorgang) die Scriptdatei 84 zu dem autorisierten Benutzer ubertragen werden, und dieser 
kann dann komfortabel (und idealerweise ohne uberhaupt mit dem verschlusselten Vo- 
lumendokument konfrontiert zu werden) die offene Originalfassung wieder herstellen. 

35 

Zusatzlich ist die in Fig. 2 schematisch gezeigte Ausfuhrungsform geeignet, nicht nur eine 
Schlusseldatei fur die Speichereinheit 74 (bzw. als lauffahige Scriptdatei 84) zu erzeugen, 
sondern eine Mehrzahl, von denen idealerweise jedoch wiederum nur eine zu einem inhaltlich 
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tatsachlich korrekten Ergebnis fuhrt, wahrend andere Schlusseldateien als Scripte einen Ent- 
schlusselungsvorgang auslosen, welcher zwar ebenfalls zu einem sinnvollen (und damit 
scheinbar korrekten) Ergebnis fuhrt, inhaitlich jedoch nicht mit der Ursprungsfassung uberein- 
stimmt. Hierdurch ist dann eine weitere Erhohung der Verschlusselungssicherheit gegeben. 
Dabei sollte es unmittelbar einsichtig sein, dass bereits geringe inhaltliche Abweichungen den 
(fur einen Nutzer eigentlich wertbildenden) Sinn des Ursprungsdokuments vollstandig zersto- 
ren, so dass es moglicherweise nur geringer Modifikationen bzw. einer geringen Anzahl von 
Verschlusselungsoperationen (mit der Folge einer entsprechend kurzen Scriptdatei als 
Schlusseldaten) bedarf, um den vorgesehenen Schutzzweck zu erreichen, bis hin zur bereits 
erwahnten Nicht-Verschlusselung der Ursprungsdatei, die ihren Schutzzweck lediglich aus 
dem Umstand herleitet, dass ein unberechtigt Zugreifender die Unsicherheit hat, ob er es mit 
einem offenen (d.h. der Ursprungsdatei auch entsprechenden) Inhalt, Oder aber mit einem 
verschlusselten, d.h. nicht mit der Ursprungsdatei ubereinstimmenden Inhalt zu tun hat. 

Die vorliegende Erfindung ist nicht auf das exemplarische Beispiel von Textdateien be- 
schrankt. So bietet es sich insbesondere auch an, jegliche weiteren elektronischen Doku- 
mente durch die prinzipiell beschriebene Weise zu verschlusseln, solange diese elektroni- 
schen Dokumente eine fur die Basisoperationen des Vertauschens. Entfernens, Hinzufugens 
oder Austauschens geeignete Struktur aus Inhaltskomponenten aufweisen. Typische weitere 
Anwendungsfalle waren also insbesondere Musikdatein, die ublicherweise im sog. MP3-For- 
mat vorliegen, und wo es im Rahmen der vorliegenden Erfindung mpglich ist, die durch das 
MP3-Format vorgegebenen Datenstrukturen (sog. Frames) einzeln oder blockweise 
(idealerweise auch takt- oder abschnittsweise, bezogen auf das jeweilige Musikstuck) aus- 
zutauschen, zu ehtfernen oder zu vertauschen. Entsprechendes gilt fur Bild- und/oder Video- 
dateien, denn auch die dort gangigen, bekannten Dokumentformate basieren auf einer Folge 
von Frames als Inhaltskomponenten (bei Bildern oder elektronischen Videos sind dies die je- 
weiligen Einzelbilder), die in der erfindungsgemafcen Weise manipuliert werden konnen. So ist 
es hier insbesondere Aufgabe der (auf technische Standards bezogenen) semantischen 
Regeleinheit (Fig. 2), innerhalb derartiger kpmplexer Datenstrukturen Ansatzpunkte fur eine 
wirksame Manipulation aufzufinden. Entsprechendes gilt fur Farb-, Kontrast-, Helligkeits- oder 
andere Werte, die im Rahmen einer Darstellungs- oder Ablauflogik des betreffenden 
Dokuments benutzt werden und mit den Basisoperationen der semantischen Verschlusselung 
geandert werden konnen. 



WO 01/06341 



-32- 

PATENTANSPRUCHE 



PCT/EP00/06824 



Datenverarbeitungsvorrichtung mit 

einem einer lokalen Rechnereinheit (10) zugeordneten lokalen Dateiablagesy- 
stem (12) zum Abrufen und zur Speicherung sowie zur bidirektionalen Daten- 
ubertragung von Volumendateien mittels der Rechnereinheit (10) 
und einer der lokalen Rechnereinheit zugeordneten Nutzer-ldentifikationseinheit 
(20), die zum Ermoglichen eines Zugriffs durch die Rechnereinheit auf fur einen 
Nutzer autorisierte Volumendateien nur als Reaktion auf dessen positive Iden- 
tifikation ausgebildet ist, 

wobei die Volumendatei in dem lokalen Dateiablagesystem (12) in einer fur 
einen Nutzer nicht brauchbaren, verschlusselten Form gespeichert ist, 
gekennzeichnet durch 

eine einem Datenubertragungspfad von Volumendateien zwischen der lokalen 
Rechnereinheit (10) und dem lokalen Dateiablagesystem (12) zugeordnete 
Schlusselverwaltungseinheit (16) als Teil und Funktionalitat der lokalen Rech- 
nereinheit (10), die zum Erzeugen und Zuweisen mindestens einer nutzerspe- 
zifischen und volumendateispezifischen Schlusseldatei fur jede Volumendatei 
ausgebildet ist, 

die Schlusselverwaltungseinheit (16) mit einer als Teil des lokalen Dateiabla- 
gesystems, von diesem logisch getrennt vorgesehenen Schlusseldatenbank 
(18) verbunden ist 

und zum Verknupfen einer in der Schlusseldatenbank (18) gespeicherten 
Schlusseldatei mit einer im lokalen Dateiablagesystem (12) gespeicherten 
Volumendatei zum Erzeugen eines fur einen Nutzer brauchbaren elektroni- 
schen Dokuments 

wobei die Schlusseldatenbank lokal in der Datenverarbeitungsvorrichtung, je- 
doch logisch oder strukturell oder physisch getrennt von einer dem lokalen 
Dateiablagesystem zugeordneten Laufwerks- oder Massenspeichereinheit 
vorgesehen ist. 

Vorrichtung nach Anspruch 1. dadurch gekennzeichnet, . dass die verschlusselte Form 
das Verschlusseln mittels eines symmetrischen Schlussels aufweist. 
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Vorrichtung nach Anspruch 1, dadurch gekennzeichnet. dass die verschlusselte Form 
ein bezogen auf ein elektronisches Dokument als Basis fur eine Volumendatei inhalts- 
und/oder sinnentstellendes Vertauschen, Entfernen und/oder Hinzufugen von Datei- 
komponenten aufweist. 

Vorrichtung nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, dass das 
lokale Dateiablagesystem (12) eine Datenbank und die Volumendateien Datenbankein- 
trage oder Datensatze der Datenbank sind. 

Vorrichtung nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet, dass das 
lokale Dateiablagesystem (12) eine Arbeitsplatz-Massenspeichereinheit fur bevorzugt 
eine Mehrzahl von Nutzern ist. 

Vorrichtung nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, dass die Vo- 
lumendateien digitate Text-, Programm-, Bild-, Audio- und Videodateien sowie Kombi- 
nationen aus diesen aufweisen. 

Verfahren zur Speicherung und zum Aufruf von elektronischen Dateien, insbesondere 
zum Betreiben einer Datenverarbeitungsvorrichtung nach einem der Anspruche 1 bis 6, 
gekennzeichnet durch die Schritte: 

Identifizieren eines an einer Rechnereinheit zum Zugreifen auf in einem der 
Rechnereinheit zugeordneten Dateiablagesystem gespeicherten oder zu 
speichernden Volumendateien tatigen Nutzers; 

Ermoglichen des autoristerten Zugriffs auf nutzerspeizifische Volumendateien 
als Reaktion auf eine positive Identifikation; 

Erzeugen einer volumendatei- und nutzerspezifischen Schlusseldatei fur ein im 
Dateiablagesystem zu speicherndes elektronisches Dokument und nachfol- 
gendes Verknupfen des elektronischen Dokuments mit der Schlusseldatei zum 
Erzeugen und Speichern einer fur einen Nutzer nicht brauchbaren Volumen- 
datei; 

Ablegen der erzeugten Schlusseldatei in einer Schlusselspeichereinheit; 
Auslesen einer volumendatei- und nutzerspezifischen Schlusseldatei als Reak- 
tion auf einen Zugriffsbefehl eines Nutzers; 

Verknupfen der ausgelesenen Schlusseldatei mit einer aus dem Dateiablagesy- 
stem ausgelesenen, fur einen Nutzer nicht brauchbaren Volumendatei zum Er- 
zeugen eines brauchbaren elektronischen Dokuments. 
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Verfahren zum Verschlusseln einer elektronisch gespeicherten orsprunglichen Da- 
tenmenge, insbesondere als Verfahren zum Erzeugen einer volumendatei- und nutzer- 
spezifischen Schlusseldatei nach Anspruch 7 und/oder zum Betreiben der Schliissel- 
verwaltungseinheit in der Vorrichtung nach einem der Anspruche 1 bis 6, wobei die 
elektronisch gespeicherte ursprungliche Datenmenge aus einer Folge von Informati- 
onskomponenten einer Metasprache in Form einer Schriftsprache, eines Zahlensy- 
stems Oder von Informationskomponenten aus in einer vorbestimmten, einheitlichen 
Formatstruktur angeordneten Datenelementen, insbesondere Bild-. Ton- oder Pro- 
gramminformationen. besteht und in einer Mehrzahl von elektronisch adressierbaren 
Speicherbereichen gespeichert ist, mit den Schritten: 

Vertauschen und/oder Entfernen einer Informationskomponente in der Da- 
tenmenge und/oder Hinzufugen einer Informationskomponente an eine vor 
bestimmte Position in der Folge von Informationskomponenten und/oder Aus- 
tauschen einer Informationskomponente gegen eine bevorzugt in der ur- 
sprunglichen Datenmenge nicht enthaltene Informationskomponente durch 
einen Rechnerzugriff auf einen jeweiligen der Speicherbereiche zum Erzeugen 
einer verschlusselten Datenmenge; 

Erzeugen einer Schliisseldatenmenge mit Angaben uber die vertauschten. 
entfernten. hinzugefugten und/oder ausgetauschten Informationskomponenten. 
die so ausgebildet ist. dass sie ein Wiederherstellen der ursprunglichen Da- 
tenmenge gestattet und 

Abspeichern der verschlusselten Datenmenge sowie Abspeichern der Schliis- 
seldatenmenge in einer getrennten, benutzerindividualisierten Schlusseldatei 
eines gemeinsamen Dateisystems. 

Verfahren nach Anspruch 8. gekennzeichnet durch das aufeinanderfolgende. minde- 
stens zweifache Verschlusseln der Schlusseldatenmenge jeweils durch den Schritt des 
Vertauschens. Entfernens, Hinzufugens und/oder Austauschens, wobei ein erster. 
hierdurch erzeugter Schlusseldatensatz einem ersten Benutzer und ein zweiter. 
nachfolgend erzeugter Schlusseldatensatz einem zweiten Benutzer zugeordnet wird. 

Vorrichtung zum Behandeln einer elektronisch gespeicherten ursprunglichen Daten- 
menge. insbesondere zur Durchfuhrung des Verfahrens nach einem der Anspruche 7 
Oder 8 und/oder als Bestandteil der Schlusselverwaltungseinheit in der Vorrichtung 
nach einem der Anspruche 1 bis 6 mit 

einer Analyseeinheit (54, 56), die zum Zugreifen auf die in einer Dokumentspei- 
chereinheit (52) gespeicherte ursprungliche Datenmenge sowie zum elektronischen 
Erfassen von mindestens einer Folge von Informationskomponenten der ursprungli- 
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chen Datenmenge als Reaktion auf vorbestimmte und/oder ermittelte Format- 

und/oder Strukturdaten der ursprunglichen Datenmenge ausgebildet ist, 

einer der Analyseeinheit nachgeschalteten Verschlusselungseinheit (64), die zum 

Vertauschen und/oder Entfernen einer Informationskomponente in der ur- 
sprunglichen Datenmenge und/oder Hinzufugen einer Informationskompo- 
nente an eine vorbestimmte Position in der Folge von Informationskompo- 
nenten und/oder Austauschen einer Informationskomponente gegen eine be- 
vorzugt in der ursprunglichen Datenmenge nicht enthaltene Informations- 
komponente sowie zum 

Erzeugen einer Schlusseldatenmenge mit Angaben uber die vertauschten, 
entfernten, hinzugefugten und/oder ausgetauschten Informationskomponen- 
ten, die so gebildet ist, dass sie ein Wiederherstellen der ursprunglichen 
Datenmenge gestattet. 



ausgebildet ist, 

einer zum Abspeichern der Schlusseldatenmenge ausgebildeten Schlus- 
seldatenspeichereinheit (74) sowie 

einer zum Abspeichern der verschlusselten Datenmenge ausgebildeten Volu- 
mendatenspeichereinheit (76). 

Vorrichtung nach Anspruch 10, dadurch gekennzeichnet, dass der Verschlusselungs- 
einheit (64) eine Aquivalenzeinheit (70) zugeordnet ist, die fur mindestens eine In- 
formationskomponente in der ursprunglichen Datenmenge mindestens eine Aqui- 
valenzinformationskomponente elektronisch gespeichert bereithalt, wobei die Aqui- 
valenzinformationskomponente so gebildet ist, dass sie mit der zugehbrigen Informa- 
tionskomponente grammatikalisch, formatmaliig, metaphorisch und/oder syntaktisch 
ubereinstimmt. 

Vorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Ver- 
schlusselungseinheit zum Zusammenwirken mit einer semantischen Regeleinheit (72) 
ausgebildet ist, die so eingerichtet ist, dass das Vertauschen, Entfernen, Hinzufugen 
oder Austauschen innerhalb der/des Grammatik, Formats, Metaphorik und/oder 
Syntax erfolgt, die/das durch die Format- und/oder Strukturdaten bestimmt ist. 
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13. Vorrichtung nach einem der Anspruche 10 bis 12. dadurch gekennzeichnet, dass der 
Verschlusselungseinheit eine Zufallssteuerungseinheit (68) zugeordnet ist, die das 
Vertauschen, Entfernen, Hinzufugen und/oder Austauschen durch die Verschlusse- 
lungseinheit betreffend einzelne Informationskomponenten und/oder Folge(n) von 
Informationskomponenten zufallsabhangig, insbesondere nicht reproduzierbar, 
steuert. 

14. Vorrichtung nach einem der Anspruche 10 bis 13, gekennzeichnet durch eine der 
Verschlusselungseinheit zugeordnete Verschlusseiungsparametereinheit (66), die 
zum Speichern und/oder Einstellen vorbestimmter Parameter fur das Vertauschen, 
Entfernen, Hinzufugen und/oder Austauschen durch die Verschlusselungseinheit 
ausgebildet ist, insbesondere betreffend eine durch eine Anzahl des Vertauschens, 
Entfernens, Hinzufugens und/oder Austauschens erreichte Verschlusselungstiefe. 

15. Vorrichtung nach einem der Anspruche 10 bis 14, gekennzeichnet durch eine der 
Verschlusselungseinheit nachgeschaltete Konvertierungseinheit (80), die zum Er- 
zeugen einer elektronisch ubertragbaren Volumendatei aus der verschlusselten Da- 
tenmenge sowie einer bevorzugt aktiv ablauffahigen Programm- und/oder Scriptdatei 
aus der Schlusseldatenmenge ausgebildet ist. 

16. Vorrichtung nach einem der Anspruche 10 bis 15, dadurch gekennzeichnet, dass die 
Verschlusselungseinheit zum Erzeugen einer Mehrzahl von Schlusseldatenmengen 
ausgebildet ist, von denen mindestens eine bei einem Zusammenfuhren mit der ver- 
schlusselten Datenmenge nicht das Wiederherstellen der ursprunglichen 
Datenmenge gestattet, jedoch nach dem Zusammenfuhren zu einer Datenmenge 
fuhrt, die mit der ursprunglichen Datenmenge syntaktisch, formatmafiig und/oder 
grammatikalisch ubereinstimmt. 

17. Vorrichtung nach einem der Anspruche 10 bis 16, dadurch gekennzeichnet, dass die 
der Analyseeinheit nachgeschaltete Verschlusselungseinheit in der Schlusseldaten- 
menge zum Aus- oder Vertauschen der Angaben uber die vertauschten, entfernten, 
hinzugefugten und/oder ausgetauschten Informationskomponenten ausgebildet ist. 
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